Microsoft Patch Tuesday
Teknoloji

Microsoft’tan kritik “Patch Tuesday” güncellemeleri

Emre Çıtak··3 min read

Microsoft, Eylül 2025 “Patch Tuesday” güvenlik güncellemelerini yayınladı. Bu güncellemeler, iki halka açıklanmış sıfırıncı gün (zero-day) açığı da dahil olmak üzere toplam 81 güvenlik sorununu gideriyor.

Güncellemeler arasında 5 uzaktan kod çalıştırma (RCE), 1 bilgi açıklama ve 2 yetki yükseltme dahil olmak üzere dokuz kritik seviye açık bulunuyor.

Kategorilere göre açık dağılımı

  • 41 Yetki Yükseltme

  • 2 Güvenlik Özelliği Atlama (Security Feature Bypass)

  • 22 Uzaktan Kod Çalıştırma

  • 16 Bilgi Açıklama

  • 3 Hizmet Aksatma (DoS)

  • 1 Sahtecilik (Spoofing)

BleepingComputer raporlarına göre sadece Patch Tuesday günü yayımlanan yamalar dikkate alınıyor. Bu nedenle, 3 Azure, 1 Dynamics 365 FastTrack, 2 Mariner, 5 Microsoft Edge ve 1 Xbox açığı, bu 81 açığa dahil edilmedi; çünkü ay başında zaten giderilmişlerdi.

Zero-day açıkları

Bu ayki güncellemeler, Windows SMB Server ve Microsoft SQL Server’daki iki halka açıklanmış zero-day açığını kapatıyor:

  1. CVE-2025-55234 – Windows SMB Yetki Yükseltme Açığı:
    SMB Server relay saldırılarına karşı savunmasız olabilir. Başarılı saldırganlar kullanıcıları yetki yükseltme saldırılarına maruz bırakabilir. Microsoft, SMB Server İmzalama ve Gelişmiş Koruma (EPA) gibi ayarların kullanılmasını öneriyor.

  2. CVE-2024-21907 – VulnCheck: Newtonsoft.Json İstisna Hataları:
    SQL Server’da bulunan Newtonsoft.Json kütüphanesindeki hatalar, özel veriler ile StackOverflow istisnası tetikleyerek hizmet aksamasına neden olabilir. Uzak saldırgan, kimlik doğrulaması yapılmamışsa sistemi etkileyebilir.

Diğer şirketlerden güncellemeler

  • Adobe: Magento e-ticaret mağazaları için “SessionReaper” açığını giderdi.

  • Argo: API belirteçlerinin yetkisiz erişimini sağlayan açığı düzeltti.

  • Cisco: WebEx, ASA ve diğer ürünler için yamalar yayınladı.

  • Google: Eylül Android güvenlik güncellemeleri ile 84 açığı giderdi, bunlardan bazıları aktif olarak istismar ediliyordu.

  • SAP: Netweaver’da kritik komut çalıştırma açığı dahil birden fazla ürün için güncelleme yayımladı.

  • Sitecore: CVE-2025-53690 sıfırıncı gün açığı için güvenlik güncellemesi yayınladı.

  • TP-Link: Bazı yönlendiricilerinde yeni bir zero-day açığı doğruladı; araştırma ve yama çalışmaları devam ediyor.

Öne çıkan Microsoft açıkları

  • CVE-2025-55234: Windows SMB Yetki Yükseltme – Önemli

  • CVE-2024-21907: SQL Server Newtonsoft.Json – Bilinmiyor

  • CVE-2025-55228: Windows Grafik Bileşeni RCE – Kritik

  • CVE-2025-55224: Windows Hyper-V RCE – Kritik

  • CVE-2025-55242: Xbox Sertifika Açığı – Kritik

Güncellemeler, Windows, Microsoft Office, SQL Server, Hyper-V, SMB, Edge, Xbox ve diğer hizmetleri kapsıyor.

Detaylı CVE listesi Microsoft’un resmi Patch Tuesday raporunda yer alıyor.

Tags:microsoft

İLGİNİZİ ÇEKEBİLİR