.webp?w=696&resize=696,0&ssl=1 "Microsoft Office Güvenlik Açıkları")
Microsoft, Microsoft Office’te saldırganların etkilenen sistemlerde kötü amaçlı kod yürütmesine izin verebilecek iki önemli güvenlik açığı için yamalar yayınladı.
CVE-2025-54910 ve CVE-2025-54906 olarak izlenen kusurlar 9 Eylül 2025’te açıklandı ve popüler üretkenlik süitinin çeşitli versiyonlarını etkiledi.
Microsoft, şu anda her iki güvenlik açığı için “daha az olası” olarak sömürüyü değerlendirmiş olsa da, uzaktan kod yürütme potansiyeli kullanıcılar ve yöneticilerden derhal dikkat gerektiriyor.
Güvenlik açıkları sömürü yöntemleri ve ciddiyetinde farklılık gösterir, biri kritik, diğeri önemli olarak derecelendirilir.
Kritik Microsoft Office güvenlik açıkları
İki kusurdan daha şiddetli olan CVE-2025-54910, kritik dereceli bir yığın tabanlı tampon taşma güvenlik açığıdır.
CWE-122 olarak kataloglanan bu tür zayıflık, yetkisiz bir saldırganın bir hedef makinede yerel olarak keyfi kod yürütmesine izin verebilir. Bu güvenlik açığının özellikle tehlikeli bir yönü, Microsoft Office’teki önizleme bölmesinin bir saldırı vektörü olarak hizmet etmesidir.
Bu, bir saldırganın, kullanıcının ötesindeki herhangi bir etkileşim olmadan, sadece bir Explorer penceresinde kötü niyetli bir dosya alıp görüntülemeden istismarları tetikleyebileceği anlamına gelir.
Saldırı yerel olarak yürütülse de, güvenlik açığının başlığındaki “uzak” terimi, saldırganın konumunu ifade ederek kurbanın makinesine erişmeden önce erişime ihtiyaç duymadıklarını vurgular.
İkinci güvenlik açığı olan CVE-2025-54906, önemli olarak derecelendirilmiştir ve CWE-416 olarak izlenen bir kullanım durumundan kaynaklanmaktadır.
Bu kusur aynı zamanda uzaktan kod yürütülmesine izin verir, ancak sömürü vektörü yığın bazlı taşmadan önemli ölçüde farklıdır. Bu güvenlik açığından yararlanmak için, bir saldırgan kötü amaçlı bir dosya oluşturmalı ve kullanıcıyı onu açmaya sosyal olarak mühendislik yapmalıdır.
Diğer kusurun aksine, önizleme bölmesi CVE-2025-54906 için bir saldırı vektörü değildir, yani kullanıcının kötü niyetli içeriğe aktif olarak etkileşime geçmesi gerekir.
Kullanıcı etkileşimi için bu gereksinim, önizleme bölmesi güvenlik açığına kıyasla daha düşük şiddet derecelendirmesinin önemli bir nedenidir.
Hafifletme
Microsoft, etkilenen yazılımlar için bu güvenlik açıklarını ele almak için güvenlik güncellemeleri yayınladı. Şirket, müşterilere kapsamlı koruma sağlamak için sistemlerine yüklenen yazılım için sunulan tüm güncellemeleri uygulamalarını tavsiye eder.
Mac 2021 ve 2024 için Microsoft Office LTSC için güvenlik güncellemelerinin hemen mevcut olmadığı, ancak kısa süre içinde yayınlanacağına dikkat edilmelidir.
Microsoft, bu güncellemeler hazır olduğunda CVE bilgilerini gözden geçirme yoluyla müşterileri bilgilendirecektir. Uzaktan kod yürütme kusurlarının ciddi doğası göz önüne alındığında, kullanıcılar potansiyel sömürü riskini azaltmak için yamaları mümkün olan en kısa sürede kurmaya şiddetle teşvik edilir.
Bu hikayeyi ilginç bul! Daha fazla anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin.