Microsoft’ın Rekor Kıran Haziran 2026 Yama Salısı: 200 Açık Giderildi, 3 Sıfır-Gün Açığı Yamalandı

Kamuya Açıklanmış Üç Sıfır-Gün Açığı

Önemli bir detay ise, yamalanan üç sıfır-gün açığının da yamalar yayınlanmadan önce doğrudan saldırılarda kullanıldığına dair bir kanıt bulunmamasıydı .

CVE-2026-45586 — CTFMON Yetki Yükseltme Açığı (GreenPlasma)

Bu, Windows İşbirlikçi Çeviri Çerçevesi'ndeki (CTFMON) bir "bağlantı takibi" açığı olup, kimliği doğrulanmış bir saldırganın yerel olarak yetkilerini SİSTEM seviyesine yükseltmesine olanak tanır. Microsoft, açığı bildireni anonim olarak listelese de, güvenlik araştırmacıları bunu, Nightmare Eclipse takma adlı bir araştırmacı tarafından “GreenPlasma” adıyla kamuya açıklanan açık ile hızla eşleştirdi. Bu ifşa, Microsoft'ın hata ödül ve güvenlik açığı ifşa programlarını protesto eden bir kampanyanın parçasıydı .

CVE-2026-49160 — HTTP.sys Hizmet Reddi Açığı (“HTTP/2 Bombası”)

Bu, HTTP/2 protokol yığınında (CWE-400) CVSS puanı 7.5 olan bir kontrolsüz kaynak tüketimi açığıdır. Kimlik doğrulaması olmayan uzak bir saldırgan, çok az miktarda veri göndererek sunucunun orantısız derecede büyük miktarda bellek ayırmasına neden olabilir. HTTP/2 akış kontrol ayarlarını manipüle ederek bu belleği süresiz olarak meşgul edebilir . Calif.io'dan Quang Luong ve Codex tarafından keşfedilen bu saldırı, etkilenen web sunucularını saniyeler içinde çevrimdışı bırakabilir . Microsoft, bir azaltma önlemi olarak HTTP/2 ve HTTP/3 istek başlıklarını sınırlamak için yeni bir MaxHeadersCount kayıt defteri ayarı (KB5102602'de belgelenmiştir) getirdi .

CVE-2026-50507 — BitLocker Güvenlik Özelliği Atlatma (YellowKey)

Bu, fiziksel erişime sahip, kimliği doğrulanmamış bir saldırganın, yalnızca TPM kullanan sürücülerde Windows Kurtarma Ortamı'nı istismar ederek BitLocker şifrelemesini atlamasına olanak tanıyan bir koruma mekanizması hatasıdır. Bu, Nightmare Eclipse kampanyasından bu ay giderilen ikinci açık olup, kamuoyunda “YellowKey” olarak bilinir .

Nightmare Eclipse Protesto Kampanyası

Nightmare Eclipse takma adlı araştırmacı, Microsoft'ın hata avcılığı programlarını nasıl yürüttüğünü protesto etmek için BlueHammer, MiniPlasma, RedSun, UnDefend, GreenPlasma ve YellowKey adında bir dizi Windows sıfır-gün açığını kamuoyuna duyurdu. Microsoft'ın Haziran yamaları GreenPlasma ve YellowKey'i ele alırken, aynı kampanyadaki diğer üç açığın (BlueHammer, RedSun ve UnDefend) Haziran başında aktif olarak kullanıldığı rapor edildi. Bu durum, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı'nın (CISA) onları Bilinen İstismar Edilen Güvenlik Açıkları kataloğuna eklemesine yol açtı .

Windows 11 Toplu Güncelleştirmelerindeki Yenilikler

Zorunlu Haziran güncellemeleri, Windows 11 için güvenlik yamalarından fazlasını getirdi. İki ana toplu güncelleştirme yayınlandı: KB5094126 (sürüm 25H2 [derleme 26200.8457] ve 24H2 [derleme 26100.8457] için) ve KB5093998 (sürüm 23H2 [derleme 22631.7079] için) . Microsoft ayrıca Windows 10 için KB5094127 numaralı bir genişletilmiş güvenlik güncelleştirmesi (ESU) yayınladı .

Windows 11 güncelleştirmesindeki yeni özellikler şunlardır :

• Xbox Modu: Bir PC'de Xbox konsoluna benzer bir deneyim sunan bu özellik, artık daha fazla cihaza sunuluyor.
• Paylaşımlı Ses: Bluetooth LE Audio kullanarak iki kişinin aynı anda tek bir bilgisayardan aynı ses akışını dinlemesine olanak tanır.
• Görev Yöneticisi NPU İzleme: Uygulama artık nöral işlem birimleri (NPU) için kullanım, ayrılmış/paylaşımlı bellek ve diğer metrikleri gösteriyor.
• Çoklu Uygulama Kamera: Birden fazla uygulamanın aynı anda kamera akışına erişmesine izin verir.
• Performans İyileştirmeleri: Yeni bir düşük gecikme profili, uygulama başlatma ve Başlat, Arama, İşlem Merkezi gibi kabuk etkileşimlerini hızlandırır.
• Kurulum İyileştirmeleri: Kullanıcılar artık Windows Kurulumu sırasında kullanıcı klasörleri için özel bir ad seçebilirler.

Geniş Güvenlik Görünümü: Adobe ve Diğerleri

Aynı gün Adobe, Acrobat Reader, ColdFusion, InDesign ve Experience Manager gibi ürünlerdeki 123 açığı kapatan 11 güvenlik bülteni yayınladı. Bu açıklardan 47'si Kritik dereceli olup, keyfi kod yürütme, yetki yükseltme veya hizmet reddine yol açabilir .

Microsoft ve Adobe, 9 Haziran 2026'da toplamda 329 güvenlik açığı için düzeltme yayınlamış oldu . Daha geniş ekosistemde de hareketlilik vardı; Google, ayın başlarında standart Yama Salısı sayımına dahil olmayan Microsoft Edge/Chromium için devasa bir 360 açıklı yama paketi yayınladı .