Microsoft, 2026 Salı günü ilk Yaması’nda 112 yaygın güvenlik açığı ve maruz kalma (CVE) için düzeltmeler yayınladı; bunların arasında ya kamuya açıklanan ya da yama öncesinde aktif olarak yararlanılan bir dizi sıfır gün kusuru ve en az sekiz kritik hata yer alıyor.
Her ne kadar bu, son Salı Salı yamalarıyla karşılaştırıldığında keskin bir artış olsa da – Aralık 2025’te Microsoft yamasında yalnızca 56 kusur görüldü – bazen tasarım gereği tatil sezonunun genellikle yamalar için daha sessiz bir dönem olduğunu ve Ocak ayının genellikle açıklamalarda bir artış getirdiğini belirtmek önemlidir. Bununla birlikte, yama yönetimi firması Action1’in güvenlik açığı araştırması direktörü Jack Bicer’in gözlemine göre, en son güncellemedeki düzeltmelerin hacmi, güvenlik ekipleri üzerindeki “artan baskının” altını çiziyor.
Bicer, “Bu daha geniş bir eğilime aykırı: 2025’te rapor edilen güvenlik açıkları 2024’e göre %12 arttı ve açıklanan güvenlik kusurlarının yükseliş eğilimi devam etti” dedi.
Bu kusurlar arasında en önemlisi, Microsoft’un kendi Tehdit İstihbaratı ve Güvenlik Yanıt Merkezleri tarafından keşfedilen, Masaüstü Pencere Yöneticisi’ndeki bir bilginin açığa çıkması güvenlik açığı olan CVE-2026-20805’tir.
Microsoft, yalnızca 5,5 gibi nispeten düşük bir Ortak Güvenlik Açığı Puanlama Sistemi (CVSS) puanına sahip olmasına rağmen, CVE-2026-20805’in aktif kullanımının vahşi doğada gözlemlendiğini söyledi.
“Kusur uzak bir ALPC’den bir bellek adresini sızdırıyor [Asynchronous Local Procedure Call] liman. Bu tür bilgilerin açığa çıkması güvenlik açığı genellikle, modern işletim sistemlerinde arabellek taşmalarına ve çalışan bir uygulamanın belleğini manipüle etmeye dayanan diğer istismarlara karşı koruma sağlamak için tasarlanmış bir güvenlik özelliği olan Adres Alanı Düzeni Rastgeleleştirmesini (ASLR) yenmek için kullanılır,” diye açıkladı Immersive siber tehdit araştırması kıdemli direktörü Kev Breen.
“Kodun bellekte nerede bulunduğunu öğrendikten sonra, zor bir istismarı güvenilir bir istismara dönüştürmek için bunu ayrı bir kod yürütme hatasıyla zincirleyebilirler” dedi. “Microsoft, zincirin başka hangi bileşenleri içerebileceğine dair herhangi bir bilgi sunmuyor; bu da savunmacıların potansiyel suiistimal girişimlerine yönelik tehdit avını zorlaştırıyor, bu da şu an için tek önlemin hızlı bir şekilde yama uygulamak olduğu anlamına geliyor.”
Ivanti’nin güvenlik ürünleri yönetiminden sorumlu başkan yardımcısı Chris Goettl bu değerlendirmeye katıldı. “Güvenlik açığı, Windows işletim sisteminin şu anda desteklenen ve genişletilmiş güvenlik güncelleştirmesi tarafından desteklenen tüm sürümlerini etkiliyor” dedi, “[so] Riske dayalı bir önceliklendirme metodolojisi, bu güvenlik açığının, satıcı derecelendirmesinden veya atanan CVSS puanından daha yüksek önem derecesine sahip olarak ele alınmasını garanti eder.”
Sırada, Güvenli Önyükleme Sertifikasının Sona Erme Tarihinde CVE-2026-21265 olarak izlenen bir güvenlik özelliği atlama (SFB) kusuru var. O da nispeten düşük bir CVSS puanı taşıyor ve Microsoft bunu yalnızca Önemli olarak derecelendiriyor. Ancak Goettl, bunun kamuya açıklandığını ve güvenlik ekiplerinin konuyu incelemesinin akıllıca olacağını söyledi.
“Düzeltme, güncellemeye ek olarak 2026’da sona erecek sertifikalarla ilgili bir uyarı ve sertifikaların geçerlilik süresi dolmadan önce yenilenmesi için gereken eylemlere ilişkin ayrıntılar sağlıyor” dedi.
“Sertifikaların süresi dolduğunda olası hizmet verilebilirliği ve güvenliği önlemek için kuruluşunuzun hangi eylemleri gerçekleştirmesi gerekebileceğini araştırmaya başlamanız önerilir.”
Sıfır gün listesindeki geri kalan öğeler (yine kamuya açıklanmış ancak istismar edildiği bilinmiyor) sırasıyla üç ve dört yıl öncesine dayanıyor. Her ikisi de, desteklenen Windows işletim sistemleriyle yerel olarak gönderilen yazılım modem sürücülerini etkileyen ayrıcalık yükseltme (EoP) kusurlarıdır.
İkisinden daha eski olanı, CVE-2023-31096, Agere Soft Modem Sürücüsünde ve daha yenisi olan CVE-2024-55414, Windows Motorola Soft Modem Sürücüsünde bulunabilir. Microsoft’un çözümü, Ocak ayındaki toplu güncelleştirmenin bir parçası olarak etkilenen sürücüleri (agrsm64.sys ve arsm.sys) ve ikinci örneklerde smserl64.sys ve smserial.sys’yi kaldırmaktır.
Bu, bunlara bağlı olan yumuşak modem donanımının artık Windows’ta çalışmayı bırakacağı anlamına gelir. Microsoft, yöneticilerin etkilenen donanımdaki mevcut bağımlılıkları kaldırmak için hızlı hareket etmesi gerektiğini söyledi.
Kritik kusurlar
Ocak 2026 Salı Yaması yayınındaki kritik olarak derecelendirilen kusurlar, altı uzaktan kod yürütme (RCE) sorununu ve iki EoP sorununu içeriyor.
RCE kusurları Microsoft Excel’i, Microsoft Office’i ve Windows Yerel Güvenlik Yetkilisi Alt Sistem Hizmetini (LSASS) etkiler. Bunlara CVE-2026-20854, CVE-2026-20944, CVE-2026-20952, CVE-2026-20953, CVE-2026-20955 ve CVE-2026-20957 isimleri verilmiştir.
EoP kusurları, Windows Grafik Bileşenini etkileyen CVE-2026-20822 ve Windows Sanallaştırma Tabanlı Güvenlik (VBS) Enclave’i etkileyen CVE-2026-20876’dır.
Action1’in başkanı ve kurucu ortağı Mike Walters, VBS kusurunun özellikle dikkat edilmesi gerektiğini söyledi çünkü “Windows’un kendisini korumak için tasarlanan güvenlik sınırlarını aşarak saldırganların sistemin en güvenilir yürütme katmanlarından birine tırmanmasına olanak tanıyor”.
Walters, kimlik bilgilerini ve diğer sırları veya hassas iş yüklerini korumak için VBS’ye güvenen kuruluşlar için ciddi bir risk olduğu konusunda uyardı; çünkü başarılı bir şekilde kullanılırsa, bir saldırgan güvenlik kontrollerini atlayabilir, kalıcılık sağlayabilir, tespitten kaçabilir ve güvenlik ekiplerinin güçlü bir şekilde izole edildiğine inandığı sistemlere saldırabilir.
“Her ne kadar istismar yüksek ayrıcalıklar gerektirse de etkisi ciddi çünkü sanallaştırma tabanlı güvenliği tehlikeye atıyor. Halihazırda bir dayanağı olan saldırganlar bu kusuru gelişmiş savunmaları yenmek için kullanabilir, bu da Windows güvenlik sınırlarına olan güveni korumak için hızlı düzeltme eki uygulamayı zorunlu hale getirebilir” dedi.
“Yama hemen uygulanamıyorsa, yönetici erişimini kısıtlayın, güçlü ayrıcalık yönetimi uygulayın ve VBS veya bölgeyle ilgili süreçleri içeren anormal etkinlikleri izleyin.”