Microsoft, ofis paketinde saldırganların etkilenen sistemlerde uzaktan kötü amaçlı kod yürütmesini sağlayabilecek üç kritik güvenlik açığı açıkladı.
CVE-2025-53731, CVE-2025-53740 ve CVE-2025-53730 olarak tanımlanan güvenlik açıkları, 12 Ağustos 2025’te piyasaya sürüldü ve dünya çapında kuruluşlar ve bireysel kullanıcılar için önemli güvenlik riskleri oluşturmaktadır.
Her üç güvenlik açığı da, yüksek ayrıcalıklarla yetkisiz kod yürütülmesine izin verebilecek, içermeyen bellek bozulma sorunlarından kaynaklanmaktadır.
Kritik güvenlik açıkları keşfedildi
Üç güvenlik açıkından en şiddetli olan CVE-2025-53731 ve CVE-2025-53740, her ikisi de kritik şiddet derecelendirmelerini taşır ve Core Microsoft Office bileşenlerini etkiler.
Bu güvenlik açıkları, programlar serbest bırakıldıktan sonra belleği kullanmaya devam ettiğinde ortaya çıkan ortak bir güvenlik zayıflığı sınıfı olan, içermeyen bellek yolsuzluk kusurlarından yararlanır.
| CVE kimliği | Bileşen | Şiddet | CVSS Puanı | Kullanıcı etkileşimi | Darbe |
| CVE-2025-53731 | Microsoft Office | Eleştirel | 8.4 / 7.3 | Hiçbiri gerekli | Uzak Kod Yürütme |
| CVE-2025-53740 | Microsoft Office | Eleştirel | Belirtilmedi | Belirtilmedi | Uzak Kod Yürütme |
| CVE-2025-53730 | Microsoft Office Visio | Önemli | 7.8 / 6.8 | Gerekli | Uzak Kod Yürütme |
Bu tür güvenlik açıkları, saldırganlara sistem belleğini manipüle etme ve keyfi kod yürütme fırsatları sundukları için özellikle tehlikeli olabilir.
CVE-2025-53731, CVSS skoru 8.4 ile en yüksek riski sunar, bu da başarılı sömürünün yerel erişim gerektirdiğini ancak kullanıcı etkileşimi gerektirmediğini gösterir, bu da özellikle kurumsal ortamlarla ilgilidir.
Güvenlik açığı, saldırganların hedeflenen sistemler üzerinde yüksek düzeyde gizlilik, bütünlük ve kullanılabilirlik etkisi elde etmelerini sağlar.
Üçüncü güvenlik açığı olan CVE-2025-53730, özellikle Microsoft Office Visio’yu hedefler ve önemli bir önem derecesi taşır.
Muadillerinden biraz daha az şiddetli olsa da, bu güvenlik açığı, özellikle iş açısından kritik diyagram ve akış şeması yaratma için Visio’ya büyük ölçüde dayanan kuruluşlar için hala önemli riskler oluşturmaktadır.
Bu güvenlik açıklarının keşfi, kuruluşların güvenli bilgi işlem ortamlarını sürdürmede karşılaştığı zorlukları vurgulamaktadır.
Modern güvenlik mekanizmalarını atlamak ve hedef sistemlerde güvenilir kod yürütme elde etmek için kullanılabilecekleri için özellikle kullanılmayan güvenlik açıkları ile ilgilidir.
Güvenlik araştırmacıları, bu güvenlik açıklarının tehdit aktörleri tarafından kötü amaçlı yazılım dağıtmak, hassas bilgiler çalmak veya tehlikeye atılmış ağlara kalıcı erişim sağlamak için silahlandırılabileceğini vurgulamaktadır.
CVE-2025-53731 ve CVE-2025-53740 için yerel saldırı vektörü gereksinimi, saldırganların potansiyel olarak kimlik avı kampanyaları veya diğer sosyal mühendislik teknikleri aracılığıyla hedef sistemlere ilk erişime ihtiyaç duyacağını göstermektedir.
Kuruluşlar, Microsoft bu güvenlik açıkları için yamalar yayınlar yapmaz güvenlik güncellemelerinin uygulanmasına öncelik vermelidir.
BT yöneticilerine Microsoft’un güvenlik danışmanlarını yakından izlemeleri ve yamalar mevcut olana kadar potansiyel sömürü fırsatlarını sınırlamak için uygun ağ segmentasyonu ve erişim kontrollerini uygulamaları önerilir.
AWS Security Services: 10-Point Executive Checklist - Download for Free