Microsoft, Salı günü Kasım 2025 Yaması için oldukça hafif bir yama yükü yayınladı: Aralarında aktif olarak yararlanılan bir Windows Çekirdek kusurunun (CVE-2025-62215) da bulunduğu 60’tan fazla güvenlik açığı düzeltildi.
CVE-2025-62215
CVE-2025-62215 yerel ayrıcalıkların (SİSTEM’e) yükseltilmesine izin veren “Windows Çekirdeğinde uygun olmayan senkronizasyonla (‘yarış koşulu’) paylaşılan kaynak kullanılarak eşzamanlı yürütmeden kaynaklanan bir bellek bozulması sorunudur.
Açık alandaki istismar, Microsoft’un Tehdit İstihbarat Merkezi (MSTIC) ve Güvenlik Yanıt Merkezi (MSRC) tarafından, muhtemelen sınırlı saldırılarda işaretlendi; çünkü yararlanma kodu işlevseldir ancak yaygın olarak mevcut değildir.
Trend Micro’nun Zero Day Initiative tehdit farkındalığı başkanı Dustin Childs, “Burada bir yarış durumu olduğunu belirtmek de ilginç ve bu, bazı yarış koşullarının diğerlerinden daha güvenilir olduğunu gösteriyor. Bu gibi hatalar genellikle kötü amaçlı yazılımların kod yürütme hatalarıyla eşleştirilerek sistemi tamamen ele geçirir” dedi.
Ivanti Güvenlik Ürün Yönetimi Başkan Yardımcısı Chris Goettl, güvenlik açığının şu anda desteklenen tüm Windows İşletim Sistemi sürümlerini ve Windows 10 Genişletilmiş Güvenlik Güncelleştirmelerini (ESU) etkilediğine dikkat çekti; bu, Windows 10’un ESU olmadan EoL’den sonra çalıştırılması riskinin varsayımsal olmadığı anlamına geliyor.
“Windows 10 ESU’ya abone olduğunuzdan ve mümkün olduğunda ek azaltımlar sağladığınızdan emin olun” tavsiyesinde bulundu.
Microsoft ayrıca Windows 10 için Genişletilmiş Güvenlik Güncelleştirmeleri (ESU) programına kayıtlı olmayan tüketici cihazları için bant dışı bir güncelleştirme yayınladı. Bu güncelleştirme, ESU kayıt sihirbazının kayıt işlemi sırasında başarısız olmasına neden olabilecek bir sorunu giderir.
Goettl, artık desteklenmeyecek veya kısa bir süre daha desteklenecek başka Windows ürünlerinin de bulunduğunu kaydetti.
“Öncelikle Exchange Server biraz daha fazla dikkat çekiyor. Microsoft, uzantıya ihtiyaç duyan müşteriler için Exchange 2016/2019 sunucuları için 6 aylık ESU seçeneğini duyurdu. Ancak onların rehberliği, bu programa güvenmemek ve Exchange’den çıkıp Exchange SE’ye zamanında geçmek için her türlü girişimi yapmaktır.”
Windows 11 Home ve Pro 23H2 “Destek Sonu” tarihine ulaştı.
Dikkat edilmesi gereken diğer güvenlik açıkları
CVE-2025-60724 Windows uygulamalarında 2B vektör grafikleri, resimler ve metinleri işlemek için kullanılan bir alt sistem olan Graphics Device Interface Plus’taki (GDI+) yığın tabanlı bir arabellek taşması hatasıdır.
Microsoft, “Bir saldırgan, kurbanı özel hazırlanmış bir meta dosya içeren bir belgeyi indirmeye ve açmaya ikna ederek bu güvenlik açığını tetikleyebilir. En kötü senaryoda, bir saldırgan, özel hazırlanmış bir meta dosya içeren belgeleri kullanıcı etkileşimi olmadan yükleyerek web hizmetlerinde bu güvenlik açığını tetikleyebilir” dedi.
Güvenlik açığı “kritiktir” çünkü herhangi bir kullanıcı etkileşimi olmadan uzaktan kod yürütülmesine yol açabilir ve düşük karmaşıklıktaki saldırılarda kimliği doğrulanmamış saldırganlar tarafından tetiklenebilir. Yine de Microsoft, istismar edilme ihtimalinin daha düşük olduğunu değerlendiriyor.
Rapid7’nin baş yazılım mühendisi Adam Barnett, “Bu güvenlik açığı neredeyse kesinlikle virüs bulaştırılabilir olmasa da, açıkça çok ciddi ve bu ayın yamalarına nasıl yaklaşılacağını düşünen herkes için kesinlikle en önemli önceliklerden biri” yorumunu yaptı.
CVE-2025-62199Microsoft Office’teki bir ücretsiz kullanım sonrası kusur olan .
Microsoft, istismarın, kullanıcının kötü amaçlı bir dosyayı indirmesi ve açması için kandırılmasına dayandığını belirtti ancak Önizleme Bölmesi’nin bir saldırı vektörü olduğunu da belirtti.
Rapid7’den Barnett, “Saldırganın, tehlikeli içeriğin etkinleştirilmesiyle ilgili sinir bozucu uyarıları aşmak için bir yol çizmesine gerek olmadığından, bu kesinlikle gerçek dünyada istismar olasılığını artırıyor. Outlook’ta yalnızca bir e-posta listesinde gezinmek yeterli olabilir” dedi.
CVE-2025-62222 Agentic AI ve Visual Studio Code’u etkiler ve yetkisiz bir saldırganın ağ üzerinden kod yürütmesine izin verebilir.
Immersive’in baş siber güvenlik mühendisi Ben McCarthy, “Güvenlik açığı Visual Studio Code CoPilot Sohbet Uzantısında tespit edildi ve yamandı. Buradaki saldırı zinciri, geliştiricinin güvenilen ortamını hedef alan yeni ve endişe verici bir zincir” diyor.
“Bir saldırgan, bir depo içinde kötü amaçlı bir GitHub sorunu oluşturur. Bu sorunun açıklaması gizli, temizlenmemiş komutu içerir. Saldırganın daha sonra geliştiriciyi bu belirli sorunla standart olmayan bir şekilde etkileşime girmeye ikna etmesi gerekir: ‘saldırganın hazırladığı sorunda belirli bir modu etkinleştirerek.’ Bu kullanıcı eylemi, uzantının kötü amaçlı sorun açıklamasını okuyup yürütmesine neden olur. Bu, komut ekleme kusurunu tetikleyerek kullanıcı bağlamında tam Uzaktan Kod Yürütülmesine yol açar.”
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmamak için son dakika haber e-posta uyarımıza abone olun. Buradan abone olun!