Ekim 2025 Salı Yaması pek çok açıdan rekorlar kitabına girdi. Microsoft, kullanım ömrünün sonuna (EOL) yaklaşan ürünlerdeki mümkün olduğunca çok sayıda açık güvenlik açığını düzeltmeye yönelik büyük bir baskı yaptı. Bu, Windows 10’da adreslenen 116 CVE’yi ve Windows 11’de adreslenen astronomik 134 CVE’yi içeriyordu; çünkü Windows 11 22H2 Enterprise ve Education sürümlerinin de EOL’ye ulaştığını unutmayın.
Microsoft ayrıca Office ve Exchange Server’ın eski sürümleri de dahil olmak üzere birçok uygulamaya yönelik güvenlik desteğini de sonlandırdı. Bu da bizi şu soruya getiriyor: Windows Exchange Server’ın şirket içi EOL sürümleri gerçekten ne zaman ortadan kalkacak? Haberlere göre yakın zamanda değil.
Windows 11 23H2 Pro önümüzdeki hafta kullanım ömrünün sonuna ulaşacak
Geçen ay başlayan büyük EOL efsanesi, önümüzdeki hafta Windows 11 23H2 Professional’a yönelik son güvenlik güncellemesiyle sona eriyor. Paniğe kapılmayın, çünkü Windows 11 23H2, Education ve Enterprise Sürümlerinin desteği 10 Kasım 2026’da sona erecek bir yıl daha devam edecek. Bu fırsatı kaçırmışsanız, Office 2016 ve 2019, Exchange Server 2016 ve 2019 ve son olarak Windows 10 için son güncellemeleri ve önerilen geçiş yollarını kapsayan geçen ayki makaleme göz atın.
Windows 10 22H2 için ilk Genişletilmiş Güvenlik Güncelleştirmeleri (ESU), abone olanlarınız için bu ay gösterilecek. Tüm sürümler EOL’ye ulaşmadı; Windows 10 Enterprise LTSC 2021 ve Windows 10 IoT Enterprise LTSC 2021’in hâlâ birkaç yıllık desteği var. Ekim güncellemelerinin uygulanmasının ardından bu sistemlerin yanlış EOL uyarısı verdiğine dair bazı raporlar mevcut, bu nedenle dikkatli olun, ancak Microsoft bunun bir sorun olmadığını ve Kasım güncellemelerinin normal şekilde uygulanacağını belirtti.
CISA ve NSA, EOL Exchange sunucularını korumak için ortak öneriler yayınladı
Exchange Server EOL sürümlerine ilişkin duyurular, geçen ayki son güvenlik güncellemelerinden çok önce yapıldı, ancak büyük kuruluşların şirket içi veya hibrit posta sunucularından Microsoft 365 tarafından sağlanan tam bulut altyapısına geçmesi genellikle yavaş, zahmetli ve maliyetli bir süreçtir.
Haberler, çevrimiçi olarak savunmasız sunucuların sayısını ve bunlara yönelik saldırıları ayrıntılarıyla anlatan makalelerle doluydu. Buna yanıt olarak, CISA, NSA, Avustralya Sinyal Direktörlüğü ve diğerleri de dahil olmak üzere çok sayıda güvenlik kurumu yeteneklerini birleştirdi ve Microsoft Exchange Sunucu Güvenliği En İyi Uygulamaları hakkında bir belge yayınladı. Bu belge, bulut veya yükseltme alternatifleri devam ederken şirket içi ve genellikle EOL Exchange Server sistemlerini güçlendirmek için güvenlik önerileri ve azaltıcı önlemler sağlar.
Bu tavsiye listesinin her şeyi kapsaması amaçlanmamıştır ancak geçiş aşamasında olanlar için mükemmel bir referans sağlamaktadır.
Kritik WSUS Güvenlik Açığı aktif olarak istismar ediliyor
Bu ay, Dene, tekrar dene başlıklı Ağustos makalemde yer alabilecek bir yama sürümünün tekrarlandığını gördük. Microsoft, Ekim Yaması Salı günü, Windows Server 2012 ile 2025 arasındaki sürümler için 7 KB’lik CVE-2025-59287 düzeltmesini yayımladı. Windows Server Update Service’deki (WSUS) uzaktan kod yürütme güvenlik açığı CVSS 3.1/9.8 ve Kritik önem derecesine sahiptir. Bu düzeltme, Windows Server 2025’teki çalışırken düzeltme ekini etkiledi ve sorunu gidermek için bant dışı güncelleştirme KB5070881’de yeniden yayımlandı.
Ayrıca bu güvenlik açığına yönelik düzeltmede bazı ek değişikliklerin olabileceği de bildirildi. Ne olursa olsun, bu güvenlik açığı ve bu yamalar iki nedenden dolayı özel ilgiyi hak ediyor. Öncelikle, KB’de Active Directory’den devam eden Sıcak Yama sorunlarına kadar değişen beş Bilinen Sorun rapor edilmiştir; bu nedenle, bunların düzgün şekilde yüklenip yüklenmediğini bir kez daha kontrol etmek isteyeceksiniz.
İkincisi ve daha önemlisi, CISA ve diğerleri, artık güvenlik açığından aktif olarak yararlanıldığını ve kavram kanıt kodunun mevcut olduğunu bildirdi. Bu güncellemeyi tek başına dağıtmadıysanız Kasım ayı yama döngünüzün bir parçası olduğundan emin olun.
Gelecek haftayı ve tahminleri sabırsızlıkla bekleyen Microsoft, Windows 11 24H2 sorununa yönelik, dil paketi çakışması nedeniyle toplu güncellemenin başarısız olabileceği bir düzeltmeye sahip olduklarını duyurdu. Bu düzeltme geçen hafta Önizleme’de sağlandı ve gelecek hafta genel güncellemelerde mevcut olacak.
Kasım 2025 Yaması Salı tahmini
- CVE’lerin sayısı bu ay önemli ölçüde düşecek. Gelecek hafta .NET framework’üne ve Exchange Server güncellemelerine ara vermeliyiz. Windows SQL Server güncellemesi mümkündür. Beklenen işletim sistemi, Office ve SharePoint yamalarını önceden tahmin edin, ancak artık daha az sürüm desteklenen daha az ikili dosya olacaktır.
- Adobe, hangi Creative Cloud uygulamalarının güncelleme alacağını dönüşümlü olarak uyguluyor gibi görünüyor; bu nedenle bu ay InDesign ve Photoshop’u bekleyin. Adobe Acrobat ve Reader Eylül ayında bir güncelleme aldı; bu nedenle Adobe, önümüzdeki hafta çıkacak bir sürümle alışveriş tatiline girerken güncel olduklarından emin olmak isteyebilir.
- Apple, 3 Kasım’da tüm işletim sistemleri ve Safari için önemli güvenlik güncellemeleri sağladı. Henüz yapmadıysanız, bu güncellemeleri Kasım ayı yama döngüsüne dahil edin.
- Google bugün Windows, Mac ve Linux için Chrome beta 143.0.7499.17’yi yayınladı; bu sürümü Salı Yaması’nda bekliyoruz.
- Mozilla, 30 Ekim’de Firefox 144 için bir güvenlik güncellemesi yayınladı. Gelecek hafta ve büyük olasılıkla Salı Yaması’nda ürün çapında başka bir sürüm yayınlanmasını bekliyorum.
Bu Kasım 2025 Yaması Salısı yeni normale doğru ilk adım olabilir. Bağımsız, şirket içi biçimde kullanılabilen çok daha az Microsoft uygulaması vardır ve hala desteklenmekte olan işletim sistemi sürümlerinin sayısı daha azdır (ESU’lu olanları dahil etmezseniz). Yönetilmesi gereken daha az güncellemeyle hepimiz mutlu olabiliriz, ancak önümüzdeki hafta nasıl sonuçlanacağını göreceğiz. Biraz erken olabilir ama burada, ABD’de bulunanların Şükran Günü kutlu olsun.