Şirket, Microsoft’un ürünleri ve altında yatan Windows sistemlerinde 130 güvenlik açıkına hitap ettiğini, ancak Salı günü yapılan son güvenlik güncellemesinde hiçbiri aktif olarak sömürülmediğini söyledi.
Araştırmacılar, SQL Server’da (CVE-2025-49719) yüksek şiddetli bir kusur için bir kavram kanıtı istismarının kamuya açık olduğunu söyledi. CVSS puanı 7.5 olan bilgi açıklama güvenlik açığı, yamalanmadan önce kamuya açıklandı, ancak Microsoft sömürünün daha az olası olduğunu söyledi.
“Bu güvenlik açığı muhtemelen SQL Server’ın bellek yönetiminde uygunsuz girdi doğrulamasından kaynaklanıyor ve bu da, intikamsız belleğe erişime izin veriyor. Sonuç olarak, saldırganlar kimlik bilgileri veya bağlantı dizeleri gibi hassas verilerin kalıntılarını alabilirler” dedi.
Walters, kusurun özellikle ilgili olduğunu söyledi çünkü kimlik doğrulaması gerekli değil, veritabanları çok miktarda hassas veri tutuyor ve etkilenen sürümler 2016’dan 2022’ye kadar sürümleri kapsıyor.
“’Sömürü daha az olası’ olarak derecelendirilmesine rağmen, kamu açıklaması teknik detayların zaten dolaşımda olabileceğini ve bu da zaman içinde sömürünün artmasına neden olabileceğini öne sürüyor” diye ekledi. “Bu güvenlik açığı gelişmiş saldırı senaryolarında kullanılabilir.”
Bu ayın güvenlik güncellemesindeki en kritik güvenlik açığı-CVE-2025-47981-CVSS puanı 9.8 ile Windows SPNEGO genişletilmiş müzakerede uzaktan kod yürütme güvenlik açığıdır. Temel protokol, kritik hizmetler hakkında kimlik doğrulamasını müzakere eder.
Ben McCarthy, bir e-postada, “Bu güvenlik açığı, kullanıcı etkileşimi ve düşük saldırı karmaşıklığı olmadan, kimlik doğrulanmamış, ön kimlik doğrulaması uzaktan kod yürütülmesini mümkün kılar, bu da bir e-postada, laboratuvarlarda yanal hareket veya başlangıçta erişim arayan rakipler için yüksek değerli bir hedef haline getiriyor” dedi.
WatchTowr CEO’su Ben Harris, savunucuları CVE-2025-47981’i hızlı bir şekilde yamaya ve açıkta kalan sistemleri avlamaya teşvik etti.
“Kendimizi kandırmamalıyız,” dedi Harris. “Özel endüstri bu güvenlik açığını fark ettiyse, kesinlikle bir ons kötülükle her saldırganın radarında.”
Microsoft’un CVE açıklamaları grubu, şirketin sömürülme olasılığı daha yüksek olarak tanımlanan dört kusur da dahil olmak üzere Microsoft Office ve bağımsız ofis ürünlerini etkileyen 16 güvenlik açığı içerir.
Bu ay ele alınan güvenlik açıklarının tam listesi Microsoft’un Güvenlik Yanıt Merkezi’nde mevcuttur.