Microsoft, vahşi doğada aktif sömürü altına giren de dahil olmak üzere Bing ve güç sayfalarını etkileyen iki kritik dereceli kusuru ele almak için güvenlik güncellemeleri yayınladı.
Güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-21355 (CVSS Puanı: 8.6) – Microsoft Bing Uzaktan Kod Yürütme Güvenlik Açığı
- CVE-2025-24989 (CVSS Puanı: 8.2) – Microsoft Güç Sayfaları Ayrıcalık Güvenlik Açığı Yüksekliği
Tech devi, CVE-2025-21355 danışmanında, “Microsoft Bing’deki kritik işlev için eksik kimlik doğrulaması, yetkisiz bir saldırganın bir ağ üzerinden kod yürütmesine izin veriyor.” Dedi. Hiçbir müşteri eylemi gerekmez.
Öte yandan, CVE-2025-24989, yetkisiz bir saldırganın bir ağ üzerindeki ayrıcalıkları yükseltmek için kullanabileceği, güvenli iş web siteleri oluşturmak, barındırmak ve yönetmek için düşük kodlu bir platform olan güç sayfalarında uygunsuz bir erişim kontrolü vakası ile ilgilidir. Kullanıcı kayıt kontrolünü atlayın.
Kendi çalışanı Raj Kumar’a güvenlik açığını işaretlemek için kredilendiren Microsoft, onu vahşi doğada silahlandırılan hatanın en az bir örneğinin farkında olduğunu gösteren “sömürü tespit edilen” bir değerlendirme ile etiketledi.
Bununla birlikte, danışma, saldırıların doğası veya ölçeği, arkasındaki tehdit aktörlerinin kimliği ve bu şekilde hedeflenmiş olabilecek herhangi bir ayrıntı sunmaz.
“Bu güvenlik açığı hizmette zaten hafifletildi ve etkilenen tüm müşteriler bilgilendirildi.”
Diyerek şöyle devam etti: “Bu güncelleme kayıt kontrolü bypass’ı ele aldı. Etkilenen müşterilere, potansiyel sömürü ve temizleme yöntemleri için sitelerini gözden geçirme talimatları verildi. Eğer bildirilmezseniz bu güvenlik açığı sizi etkilemez.”
Hacker News, daha fazla yorum için Microsoft’a ulaştı ve bir yanıt alırsak hikayeyi güncelleyeceğiz.