Microsoft Corp. Bugün 80’den fazla güvenlik açığını düzeltmek için güvenlik güncellemeleri yayınladı. Pencere işletim sistemleri ve yazılım. Bu ay Redmond’un bu ayki paketinde bilinen bir “sıfır gün” veya aktif olarak sömürülen güvenlik açıkları yoktur, bu da Microsoft’un en kuru “kritik” etiketini kazanan 13 kusur için yamalar içerir. Bu arada her ikisi de Elma Ve Google Cihazlarındaki sıfır gün hatalarını düzeltmek için yakın zamanda yayınlanan güncellemeler.
Microsoft, kötü amaçlı yazılım veya yanlış yazılımlar kullanıcılardan çok az yardım almayan bir Windows sistemine uzaktan erişim elde etmek için bunları kullanabildiğinde güvenlik kusurlarına “kritik” bir derecelendirme atar. Bu ay bozulan kritik hatalar arasında CVE-2025-54918 var. Buradaki sorun, Windows NTLMveya NT LAN Manager, Windows Ağ ortamında kimlik doğrulamasını yönetmek için bir kod paketi.
Redmond, bu kusuru “sömürü daha olası” olarak değerlendirin ve bir ayrıcalık yükseltme kırılganlığı olarak listelenmesine rağmen, Breen -den Sürükleyici Bunun aslında ağ veya internet üzerinden sömürülebilir olduğunu söylüyor.
Breen, “Microsoft’un sınırlı açıklamasından, bir saldırgan ağ üzerinden hedef cihaza özel olarak hazırlanmış paketler gönderebiliyorsa, hedef makinede sistem düzeyinde ayrıcalıklar kazanma yeteneğine sahip olacak gibi görünüyor” dedi. “Bu güvenlik açığı için, ‘Windows NTLM’deki uygunsuz kimlik doğrulamasının, yetkili bir saldırganın bir ağ üzerinden ayrıcalıkları yükseltmesine izin verdiğini’ belirtiyor, bu da bir saldırganın NTLM hashına veya kullanıcının kimlik bilgilerine erişmesi gerekebileceğini öne sürüyor.”
Breen başka bir yama dedi-CVE-2025-55234, 8.8 CVSS puanlı bir kusur Windows SMB Bir ağ üzerinden dosyaları paylaşmak için istemci – ayrıca ayrıcalık artış hatası olarak listelenir, ancak aynı şekilde uzaktan kullanılabilir. Bu güvenlik açığı bu aydan önce herkese açık olarak açıklandı.
Breen, “Microsoft, ağ erişimine sahip bir saldırganın bir hedef ana bilgisayara karşı tekrar saldırı gerçekleştirebileceğini ve bu da saldırganın kod yürütülmesine yol açabilecek ek ayrıcalıklar kazanmasına neden olabileceğini söylüyor” dedi.
CVE-2025-54916, Windows NTFS – Windows’un tüm modern sürümleri için varsayılan dosya sistemi – uzaktan kod yürütülmesine yol açabilecek. Microsoft da aynı şekilde bu hatanın sömürülmesini yakında görme olasılığının daha yüksek olduğunu düşünüyor: Microsoft bir NTFS hatasını en son Mart 2025’teydi ve zaten bir sıfır gün olarak vahşi doğada kullanılıyordu.
Breen, “CVE’nin başlığı ‘Uzak Kod Yürütme’ diyor olsa da, bu sömürü ağ üzerinden uzaktan sömürülemez değil, bunun yerine bir saldırganın ana bilgisayarda kod çalıştırma ya da bir kullanıcıyı istismarı tetikleyecek bir dosya çalıştırmaya ikna etme yeteneğine sahip olması için bir saldırgana ihtiyacı var” dedi. “Bu, kullanıcıya bir ek olarak açılacak bir dosya veya indirmek ve çalıştırmak için bir dosyaya bir dosya gönderdikleri sosyal mühendislik saldırılarında yaygın olarak görülüyor.”
Kritik ve uzaktan kod yürütme hataları tüm ilgi odağı çalma eğilimindedir, ancak Zorunlu Kıdemli Personel Araştırma Mühendisi Satnam Narang Bu ay Microsoft tarafından sabitlenen tüm güvenlik açıklarının neredeyse yarısının, bir saldırganın ayrıcalıkları yükseltmeye çalışmadan önce bir hedef sisteme erişmesini gerektiren ayrıcalık artış kusurları olduğunu belirtiyor.
Narang, “Microsoft, bu yıl üçüncü kez, uzaktan kod yürütme kusurlarından daha fazla ayrıcalık güvenlik açığı yamaladı” dedi.
3 Eylül’de Google, CVE-2025-38352, Android çekirdeğinde ayrıcalık artışı ve CVE-2025-48543 dahil olmak üzere sıfır gün saldırılarında kullanıldığı tespit edilen iki kusuru sabitledi, ayrıca Android çalışma zamanı bileşeninde ayrıcalık probleminin yükselmesi.
Ayrıca Apple kısa süre önce bu yılın yedinci sıfır gününü (CVE-2025-43300) yamaladı. Bir güvenlik açığı ile birlikte kullanılan bir istismar zincirinin parçasıydı. Whatsapp (CVE-2025-55177) Apple cihazlarını kesmek için Anlık Messenger. Uluslararası Af Örgütü, iki sıfır günün son 90 gün içinde “Gelişmiş Bir Casus Yazılım Kampanyası” nda kullanıldığını bildirdi. Sorun iOS 18.6.2, iPados 18.6.2, iPados 17.7.10, MacOS Sequoia 15.6.1, MacOS Sonoma 14.7.8 ve MacOS Ventura 13.7.8’de sabitlenmiştir.
. Sans internet fırtına merkezi Microsoft’tan her bir bireysel düzeltmenin, ciddiyet ve CVSS skoruna göre endekslenen bir arıza bulunur. Yamaları piyasaya sürmeden önce test etmede yer alan kurumsal Windows yöneticileri, genellikle sakat güncellemelerde sıska olan Asellwoody.com’a dikkat etmelidir.
Askwoody ayrıca, Microsoft’un Windows 10 bilgisayarlar için ücretsiz güvenlik güncellemelerini bırakmasından sadece iki ay sonra olduğumuzu hatırlatıyor. Bu eski makinelerin ömrünü ve kullanışlılığını güvenli bir şekilde genişletmek isteyenler için, geçen ayki birkaç işaretçi için Salı günü kapsamına göz atın.
Her zamanki gibi, lütfen verilerinizi (tüm sisteminiz değilse) düzenli aralıklarla yedeklemeyi ihmal etmeyin ve bu düzeltmelerden herhangi birini yükleme sorunları yaşıyorsanız yorumlarda ses çıkarmaktan çekinmeyin.