Microsoft, GitHub Copilot ve Visual Studio Code’u etkileyen ve saldırganların önemli güvenlik korumalarını atlamasına olanak verebilecek iki kritik güvenlik açığını açıkladı.
Her iki kusur da 11 Kasım 2025’te bildirildi ve “Önemli” önem derecelerine sahip olup, yaygın olarak benimsenen bu araçları kullanan geliştiriciler için acil riskler oluşturmaktadır.
| CVE Kimliği | Etkilenen Ürün | Etki Türü | Maksimum Önem Derecesi | CVSS Puanı |
|---|---|---|---|---|
| CVE-2025-62449 | Microsoft Visual Studio Code Copilot Sohbet Uzantısı | Güvenlik Özelliğini Atlatma | Önemli | 6,8 / 5,9 |
| CVE-2025-62453 | GitHub Copilot ve Visual Studio Kodu | Güvenlik Özelliğini Atlatma | Önemli | 5.0 / 4.4 |
Güvenlik açıkları, yapay zeka destekli geliştirme platformlarının güvenlik kontrollerini yönetme biçiminde tehlikeli bir boşluğu ortaya çıkarıyor.
Bu kusurlar, üretken yapay zekanın, güvenlik korumalarının gerekli olduğu hassas geliştirme iş akışlarına entegre edilmesiyle ilgili artan endişelerin altını çiziyor.
Güvenlik Açıkları
İlk güvenlik açığı olan CVE-2025-62449, Microsoft Visual Studio Code Copilot Sohbet Uzantısını etkiliyor. Bu kusur, CWE-22 olarak sınıflandırılan hatalı yol geçişi işleminden kaynaklanmaktadır.
Yerel erişime ve sınırlı kullanıcı ayrıcalıklarına sahip saldırganlar, yüksek etkili sonuçlar elde etmek için bu zayıflıktan yararlanabilir.
Güvenlik açığı kullanıcı etkileşimi gerektiriyor ancak CVSS puanı 6,8’dir, bu da ciddi bir risk olduğunu gösterir.
İkinci güvenlik açığı CVE-2025-62453, hem GitHub Copilot’u hem de Visual Studio Code’u etkiliyor.
Bu daha ciddi kusur, üretken yapay zeka çıktısının uygunsuz şekilde doğrulanmasını ve koruma mekanizmalarında daha geniş çaplı hataları içermektedir.
Bu güvenlik açığı, basit yol geçişi yerine yapay zeka sistemlerinin yetersiz çıktı filtrelemeye dayanarak güvenlik doğrulamalarını nasıl atlayabildiğini gösteriyor.
5,0 CVSS puanıyla kod bütünlüğüne ve erişim kontrollerine doğrudan bir tehdit teşkil ediyor.
Bu güvenlik açıkları, kötü niyetli aktörler için birden fazla saldırı vektörü oluşturur. Yerel saldırganlar dosya erişimini manipüle edebilir, hassas bilgileri alabilir veya geliştirme projelerine kötü amaçlı kod ekleyebilir.
Yol geçiş kusuru özellikle geliştirici makinelerde depolanan kaynak kodu depolarını, yapılandırma dosyalarını ve geliştirme sırlarını tehdit ediyor.
Üretken yapay zeka doğrulamasındaki zayıflık özellikle endişe vericidir. Bu, Copilot’un çıktısının, savunmasız kod önerilerini veya yetkisiz erişim modellerini önlemek için tasarlanmış güvenlik kontrollerini atlayabileceğini öne sürüyor.
Bu, yapay zeka önerilerine güvenen geliştiricilerin farkında olmadan tehlikeye atılmış kodları üretim ortamlarına uygulayabileceği anlamına gelir.
GitHub Copilot veya Visual Studio Code kullanan kuruluşlar, yamalı sürümlere güncellemeye hemen öncelik vermelidir.
Microsoft, her iki güvenlik açığı için de düzeltmeler yayınlayarak, güncellemeleri güvenlik duruşunun korunması açısından kritik hale getirdi.
Bu güvenlik açıkları, yapay zeka destekli geliştirme araçlarının güvenliğinin sağlanmasındaki zorlukları vurguluyor. Kuruluşlar kodlama yardımı için üretken yapay zekayı giderek daha fazla benimserken, güvenlik her şeyden önemli olmaya devam etmelidir.
Microsoft’un hızlı açıklama ve düzeltme eki uygulaması, güvenliğe olan bağlılığını göstermektedir. Ancak geliştiricilerin yapay zeka tarafından oluşturulan kodun doğasında bulunan potansiyel riskler konusunda dikkatli olmaları gerekir.
Düzenli güncellemeler, dikkatli kod incelemesi ve derinlemesine savunma stratejileri, modern geliştirme ortamında temel uygulamalar olmaya devam etmektedir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.