Microsoft, Haziran 2026 Patch Tuesday güncellemeleri kapsamında toplam 200 güvenlik açığını ve üçü kamuoyuna duyurulmuş zero-day olmak üzere toplam üç zero-day zafiyetini kapattı. Bu ayki güncellemeler, 33 Kritik (Critical) seviyede güvenlik açığını içeriyor. Bu kritik açıkların 28’i uzaktan kod yürütme (Remote Code Execution), 4’ü ayrıcalık yükseltme (Elevation of Privilege) ve 1’i ise bilgi ifşası (Information Disclosure) zafiyeti olarak sınıflandırıldı. Microsoft Patch Tuesday güncellemeleri, her ayın ikinci Salı günü düzenli olarak yayınlanmaya devam ediyor.

Güvenlik Açığı Kategorilerine Göre Dağılım Nasıl Gerçekleşti?

Microsoft’un bu ay düzelttiği güvenlik açıklarının kategorilere göre dağılımı şu şekilde:

• 65 Ayrıcalık Yükseltme (Elevation of Privilege) Güvenlik Açığı
• 19 Güvenlik Özelliği Atlatma (Security Feature Bypass) Güvenlik Açığı
• 55 Uzaktan Kod Yürütme (Remote Code Execution) Güvenlik Açığı
• 30 Bilgi İfşası (Information Disclosure) Güvenlik Açığı
• 7 Hizmet Engelleme (Denial of Service) Güvenlik Açığı
• 27 Sahtecilik (Spoofing) Güvenlik Açığı

Bu sayılar, yalnızca Microsoft’un bugün yayınladığı güvenlik güncellemelerini kapsamaktadır. Daha önceki aylarda veya bu ay içinde Mariner, Azure HorizonDB, Microsoft Copilot, Copilot Chat, M365 Copilot, Microsoft Exchange Online ve Microsoft Graph için yayınlanan güncellemeler bu listeye dahil edilmemiştir. Ayrıca bu ay Google tarafından düzeltilen ve Microsoft Edge/Chromium’u etkileyen 360 güvenlik açığı da bu Patch Tuesday değerlendirmesinin dışında tutulmuştur. Windows güvenlik güncellemeleri her ay düzenli olarak takip edilmelidir.

Öne Çıkan Zero-Day Güvenlik Açıkları Nelerdir?

Bu ayki Patch Tuesday, üç adet kamuoyuna duyurulmuş zero-day güvenlik açığını düzeltiyor. Microsoft, zero-day zafiyetini resmi bir düzeltme mevcut değilken kamuya duyurulan veya aktif olarak istismar edilen güvenlik açığı olarak tanımlıyor. Bu üç zero-day açığının herhangi birinin aktif saldırılarda kullanıldığına dair bir bilgi bulunmuyor. Güvenlik açığı yönetimi süreçlerinde zero-day tespiti kritik öneme sahiptir.

CVE-2026-45586 ile Windows CTFMON Bileşeninde Ayrıcalık Yükseltme Riski Giderildi

Microsoft, Windows Collaborative Translation Framework bileşeninde bulunan ve saldırganlara SYSTEM yetkisi kazandırabilen bir ayrıcalık yükseltme güvenlik açığını kapattı. Şirketin açıklamasına göre, Windows Collaborative Translation Framework’teki dosya erişimi öncesinde hatalı bağlantı çözümleme sorunu, yetkili bir saldırganın yerel olarak ayrıcalık yükseltmesine olanak tanıyor. Ayrıcalık yükseltme (EoP) güvenlik açıkları, sistemin en kritik zafiyet türleri arasında yer almaktadır.

Microsoft bu açığı isimsiz bir araştırmacıya atfederken, BleepingComputer’ın edindiği bilgilere göre bu düzeltme, güvenlik araştırmacısı Nightmare Eclipse tarafından kamuoyuna duyurulan “GreenPlasma” zero-day güvenlik açığı için yapıldı. GreenPlasma, saldırganlara SYSTEM yetkilerine sahip bir kabuk elde etme imkanı tanıyan bir ayrıcalık yükseltme zafiyeti olarak biliniyor.

Nightmare Eclipse, daha önce de BlueHammer, MiniPlasma, RedSun, UnDefend ve bugün yine düzeltilen YellowKey dahil olmak üzere bir dizi Windows zero-day güvenlik açığını, Microsoft’un hata ödülü programına ve güvenlik açığı ifşa süreçlerine yönelik tepkisi nedeniyle kamuoyuna duyurmuştu.

CVE-2026-49160 ile HTTP.sys Üzerinde Hizmet Engelleme Saldırısı Engellendi

Microsoft, bu ay içinde “HTTP/2 Bomb” adı verilen ve saldırganların hizmet engellemeye yol açmasına olanak tanıyan bir güvenlik açığını da kapattı. Güvenlik firması Calif’teki araştırmacılar tarafından keşfedilen bu açık, HTTP/2 protokolünün başlık sıkıştırma ve yönetme mekanizmasını kötüye kullanarak çalışıyor. HTTP/2 güvenlik açıkları, modern web sunucularını doğrudan tehdit eden önemli riskler arasında değerlendirilmektedir.

Saldırganlar, çok küçük miktarlarda veri göndererek hedef sunucuların orantısız derecede büyük miktarda bellek ayırmasına neden olabiliyor. Araştırmacılar, bu saldırı yönteminin etkilenen sunucularda bellek kullanımını dramatik şekilde artırabildiğini tespit etti. Saldırganlar ayrıca akış kontrol ayarlarını manipüle ederek belleğin bağlı kalmasını sağlayabiliyor, bu da sunucunun kaynakları serbest bırakmasını engelleyerek performans sorunlarına veya hizmet kesintilerine yol açabiliyor.

Bu saldırıyı hafifletmek için Microsoft, bir istekteki başlık sayısını sınırlandıran yeni bir “MaxHeadersCount” kayıt defteri ayarı ve bu ayarın nasıl kullanılacağına dair bir destek makalesi yayınladı.

CVE-2026-50507 ile Windows BitLocker Şifreleme Atlatma Zafiyeti Kapatıldı

Microsoft, bu ay ayrıca kamuoyuna duyurulmuş bir Windows BitLocker atlatma güvenlik açığını da düzeltti. Bu zafiyet, yerel saldırganların şifrelenmiş bir sürücüye erişim sağlamasına imkan tanıyordu. Microsoft’un açıklamasına göre, Windows BitLocker’daki koruma mekanizması hatası, yetkisiz bir saldırganın fiziksel bir saldırı ile güvenlik özelliğini atlatmasına izin veriyor. BitLocker güvenlik açıkları, özellikle dizüstü bilgisayarlar ve taşınabilir cihazlar için büyük risk oluşturmaktadır.

Microsoft bu açığı isimsiz bir araştırmacıya atfetse de, BleepingComputer’ın edindiği bilgilere göre bu düzeltme, güvenlik araştırmacısı Nightmare Eclipse tarafından geçen ay kamuoyuna duyurulan YellowKey güvenlik açığı için yapıldı. YellowKey zafiyeti, saldırganların bir USB sürücüye veya EFI bölümüne özel hazırlanmış dosyalar yerleştirmesi ve Windows Kurtarma Ortamı’na (WinRE) önyükleme yapmasıyla çalışıyordu. Bu işlem sırasında CTRL tuşuna basılı tutmak, BitLocker ile korunan sürücülere kısıtsız erişimi olan bir komut kabuğu açıyordu.

Bu zafiyet, özellikle Windows 11 ve Windows Server 2022/2025 cihazlarında yalnızca TPM tabanlı BitLocker koruması kullanan sistemleri etkiliyordu. Microsoft daha önce bu sorun için yalnızca TPM koruması yerine TPM+PIN kimlik doğrulamasını etkinleştirmek gibi geçici azaltma önlemleri paylaşmıştı.

Microsoft Haziran 2026 Patch Tuesday Güvenlik Güncellemeleri Listesi

Aşağıda, Microsoft’un bu ay yayınladığı tüm güvenlik güncellemelerinin tam listesi yer almaktadır (daha önce düzeltilen açıklar hariç). Bilgisayarınızda Windows Update hizmetinin aktif olduğundan emin olmanız önerilir:

Microsoft’un Haziran 2026 Patch Tuesday güncellemeleri, özellikle üç zero-day güvenlik açığının kapatılmasıyla birlikte kurumlar ve bireysel kullanıcılar için büyük önem taşıyor. CVE-2026-45586 ile Windows CTFMON bileşenindeki ayrıcalık yükseltme riski, CVE-2026-49160 ile HTTP.sys üzerindeki hizmet engelleme saldırısı ve CVE-2026-50507 ile Windows BitLocker şifreleme atlatma zafiyeti, bu ayın en kritik düzeltmeleri arasında yer alıyor. Windows sistemlerinizin güvenliği için güncellemeleri en kısa sürede uygulamanız önerilir.

Kullanıcıların ve sistem yöneticilerinin, özellikle Nightmare Eclipse tarafından ifşa edilen GreenPlasma ve YellowKey güvenlik açıklarının aktif istismar edilme potansiyeline karşı bu güncellemeleri öncelikli olarak uygulaması gerekiyor. Ayrıca HTTP/2 Bomb saldırısına karşı alınan MaxHeadersCount önlemi de web sunucuları için ayrıca değerlendirilmelidir. En güncel güvenlik yamalarını takip etmek için Windows Update hizmetinizi düzenli olarak kontrol edin.