Nisan, siber güvenlik için etkinlik dolu bir aydı. Patch Salı, 8 Nisan’da hızlı bir şekilde bize geldi – belirli bir ayda mümkün olan en erken Salı. Yine Windows 11’de 84 ve Windows 10’da 87 ve ilgili tüm sunucular ile çok sayıda CVE gördük. Ayrıcalığın yükselmesine izin veren ancak tüm işletim sistemlerinde mevcut olan CVE-2025-29824 olan, bilinen sadece bir tükenmiş sömürülmüş güvenlik açığı vardı. Genel olarak, oldukça tipik bir aylık etkinlik.
Ertesi haftalarda, MIERS’in sözleşme süresi sona ermesi ve finansman kesintisi nedeniyle CVE programını desteklemeyeceği duyurusu ile biraz kaos başladı. 25 yıl boyunca ABD hükümetinin CISA’dan finansmanı altında yönetilen CVE programı, NIST tarafından yönetilen Ulusal Güvenlik Açığı Veritabanı (NVD) ile yakından ilişkilidir. Bir veya iki gün belirsizlikten sonra, MITER ile yapılan sözleşme 11 ay boyunca yenilendi.
CVE programı, NIST’nin her bir CVE’de güvenlik açıklarının nasıl çalıştığı, hangi yazılımı etkiledikleri ve bunları nasıl düzeltileceği hakkında ayrıntılı bilgilerle genişlettiği NVD’nin önemli bir unsuru ve veri beslemesidir. CVE programının küresel önemi şüphesizdir, ancak gelecekte kim sahip olacak ve işletecekler şu anda tartışılmaktadır.
Google Tehdit İstihbarat Grubu (GTIG), 2024’te izledikleri 75 sıfır günlük güvenlik açıkları hakkında bir rapor yayınladı. Bir GTIG sıfır günü güvenlik açığı, bir yamanın mevcut olmasından önce sömürülen olarak tanımlanır. Bu raporun yürütme özeti bazı ilginç bulgular içermektedir. Güvenlik cihazlarını ve VPN’leri içerecek şekilde tüketici veya kullanıcı tabanlı uygulamalardan ağ ve kurumsal altyapıya hedeflemede sürekli bir artış vardır. Makalede belirtildiği gibi, bu son kullanıcı teknolojileri üzerinde “kapsamlı sistem ve ağ uzlaşmalarına yol açabilir”.
Hükümet destekli kuruluşlar da dahil olmak üzere tehdit aktörleri, siber casusluk yapmak, sömürülerin çoğunu yürüten gruplara liderlik etmeye devam ediyor. Olumlu tarafta, güvenliğe odaklanan satıcılar, tarayıcıların ve mobil cihazların sıfır gün sömürülmesindeki düşüşleri etkilemektedir.
Büyük kullanıcı tabanı ve popülaritesi nedeniyle, Windows işletim sistemi 2023’teki 16 güvenlik açıklarından 2024’te 22’den 22’ye giden sıfır gün sömürüsü ile hedeflenmeye devam etmektedir. Güvenlik altyapısının sömürülmesi gibi, bu popüler işletim sisteminin sömürülmesi de daha kapsamlı bir işletme uzlaşması için fırsat sağlar.
Bu ay Microsoft’un ilgi duyduğu birkaç duyuru vardı. Microsoft, Nisan 2025 güvenlik güncellemelerinin bazı Windows Server 2025 etki alanı denetleyicilerinde kimlik doğrulama sorunlarına neden olduğunu doğruladı. Bu sorunlar, yüksek şiddetli güvenlik açığı CVE-2025-26647’ye yapılan bir düzeltme ile ilişkilidir. Önümüzdeki hafta bir düzeltme varsa resmi bir kelime yok. WSUS’dan gelen Windows 11 özellik güncellemeleri için bir düzeltme duyurdular. Bu düzeltmeyi bilinen sorun geri alımı (KIR) yoluyla sağlıyorlar, ancak önümüzdeki hafta düzenli kümülatif güncellemelerle bir duyuru arıyorlar.
Sıcak yama önizleme programı 30 Haziran’da sona erecek ve Azure Arc altındaki önizleme için kayıtlı müşteriler ücretli bir aboneliğe geçecek. Eğer suçlanmak istemiyorsanız, 30 Haziran’dan önce abonelikten çıkmanız gerekir. Ve son olarak, Skype 14 yıllık bir koşudan sonra 5 Mayıs’ta resmen sona erdi. Microsoft, 2011 yılında eBay’den satın aldı. Skype kullanıcıları, tutmak istedikleri verileri indirmeye teşvik ediliyor ve ekiplere ücretsiz geçebilir.
Mayıs 2025 Patch Salı Tahmini
- Önümüzdeki hafta Microsoft’tan her zamanki güncelleme setini bekleyin. Geçen ay minimum bir dizi güvenlik düzeltmesi öngörmüştüm ve çok yolduydum. Bu ay sınırlı olan CVE’leri ikiye katlayacağım.
- Adobe, Creative Cloud Suite ürün setindeki güvenlik açıklarını agresif bir şekilde güncelliyor. Bunun bu ay daha sınırlı olmasını bekleyin, ancak bir akrobat ve okuyucu güncellemesi görebiliriz.
- 16 Nisan, Sequoia 15.4.1 dahil olmak üzere son Apple güvenlik güncellemeleri setini gördü. Bu ayın ilerleyen saatlerinde bir tur daha beklerdim ama gelecek hafta değil.
- Google, Desktop 137 için Chrome’u Windows, Mac ve Linux için beta kanalına yayınladı, bu nedenle önümüzdeki hafta GA sürümünü bekleyin.
- Mozilla Vakfı, 29 Nisan’da Firefox ve Thunderbird 138, Firefox ESR ve Thunderbird ESR 128.10 ve Firefox ESR 115.23 için güvenlik güncellemelerini yayınladı. Bu uygulamalar için küçük bir güncelleme olasılığı vardır, ancak planlamayın.
Ay boyunca bir dizi duygu vardı-CVE programı ile panik, tarayıcı uygulamalarının değil, işletmelerin sıfır gün sömürüsüne artan kayma ile değişin ve umarım Salı günü olaysız bir Mayıs yamamız var.