Microsoft, vahşi doğada aktif sömürü altına giren de dahil olmak üzere Bing ve güç sayfalarını etkileyen iki kritik dereceli kusuru ele almak için güvenlik güncellemeleri yayınladı.
Güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-21355 (CVSS Puanı: 8.6) – Microsoft Bing Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-24989 (CVSS Puanı: 8.2) – Microsoft Güç Sayfaları Ayrıcalık Güvenlik Açığı Yüksekliği
Tech devi, CVE-2025-21355 danışmanında, “Microsoft Bing’deki kritik işlev için eksik kimlik doğrulaması, yetkisiz bir saldırganın bir ağ üzerinden kod yürütmesine izin veriyor.” Dedi. Hiçbir müşteri eylemi gerekmez.
Öte yandan, CVE-2025-24989, Güç sayfalarıgüvenli iş web siteleri oluşturmak, barındırmak ve yönetmek için düşük kodlu bir platform, yetkisiz bir saldırganın bir ağ üzerinden ayrıcalıkları yükseltmek ve kullanıcı kayıt kontrolünü atlamak için kullanabileceği.
Kendi çalışanı Raj Kumar’a güvenlik açığını işaretlemek için kredilendiren Microsoft, onu vahşi doğada silahlandırılan hatanın en az bir örneğinin farkında olduğunu gösteren “sömürü tespit edilen” bir değerlendirme ile etiketledi.
Bununla birlikte, danışma, saldırıların doğası veya ölçeği, arkasındaki tehdit aktörlerinin kimliği ve bu şekilde hedeflenmiş olabilecek herhangi bir ayrıntı sunmaz.
“Bu güvenlik açığı hizmette zaten hafifletildi ve etkilenen tüm müşteriler bilgilendirildi.”
Diyerek şöyle devam etti: “Bu güncelleme kayıt kontrolü bypass’ı ele aldı. Etkilenen müşterilere, potansiyel sömürü ve temizleme yöntemleri için sitelerini gözden geçirme talimatları verildi. Eğer bilgilendirilmediyseniz bu güvenlik açığı sizi etkilemez.”
Yorum için ulaşıldığında, bir Microsoft sözcüsü Hacker News’e “Bir düzeltme yayınladık ve müşteriler korunduğunu” söyledi.
CVE-2025-24989 Kev kataloğuna eklendi
21 Şubat 2025’te ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), eklemek CVE-2025-24989, bilinen sömürülen güvenlik açıklarına (Kev) Katalog, Federal Sivil Yürütme Şubesi (FCEB) ajanslarının gerekli düzeltmeleri 14 Mart 2025’e kadar uygulamak.
(Hikaye, yayınlandıktan sonra Microsoft’tan bir yanıt içerecek şekilde güncellendi.)
