📅 12 Haz 2026 · 📰 The Hacker News / Google (Manhattan Federal Court) · 🎯 ABD Tüketicileri, Mobil Bankacılık, Finansal Kurumlar · TLP:WHITE
Microsoft, Haziran 2026 Patch Tuesday güncellemesini yayımladı; bu güncelleme 200 güvenlik açığını ve aralarında biri aktif olarak istismar edilen altı sıfır gün zafiyetini kapsıyor. Güncelleme başlangıçta beş sıfır gün ile duyurulmuş, ancak sonradan üç ek sıfır gün daha pakete dahil edilerek başlık ve makale güncellenmiştir. 33 adet 'Kritik' seviyesinde açık bulunmakta olup bunların 28'i uzaktan kod yürütme (RCE), 4'ü ayrıcalık yükseltme ve 1'i bilgi ifşası sınıfındadır. Finans ve kritik altyapı sektörlerini doğrudan etkileyen RCE ve ayrıcalık yükseltme zafiyetlerinin bu denli yoğun olması, güncellemenin öncelikli uygulanmasını zorunlu kılmaktadır.
Bu ay öne çıkan sıfır gün zafiyetlerinin başında CVE-2026-49160 (HTTP.sys Denial of Service) gelmektedir. 'HTTP/2 Bomb' olarak adlandırılan bu açık, HTTP/2 protokolünün başlık sıkıştırma ve akış kontrolü mekanizmalarını kötüye kullanarak sunucularda orantısız miktarda bellek tüketimine yol açmaktadır. Saldırganlar çok küçük miktarda veri göndererek hedef sunucunun belleğini kilitleyen akış kontrol ayarlarını manipüle edebilir, bu da performans bozulmalarına veya hizmet kesintilerine neden olur. Microsoft, yeni `MaxHeadersCount` kayıt defteri ayarını tanıtarak HTTP/2 ve HTTP/3 isteklerindeki başlık sayısını sınırlandırmayı mümkün kılmıştır; detaylar KB5102602 destek bülteninde yer almaktadır: ``` Registry: HKLM\System\CurrentControlSet\Services\HTTP\Parameters DWORD: MaxHeadersCount ``` Zafiyet, Calif.io firmasından Quang Luong ve Codex tarafından açıklanmıştır.
BitLocker güvenlik atlamaları da bu ayın kritik bulgularından biri olup iki ayrı CVE ile yamalanmıştır. CVE-2026-45585 ('YellowKey'), yerel saldırganların USB sürücüsüne veya EFI bölümüne özel hazırlanmış dosyalar yerleştirip Windows Kurtarma Ortamı'na (WinRE) önyükleyerek CTRL tuşuna basılı tutmasıyla şifreli BitLocker sürücülerine erişmesine olanak tanıyan bir atlatma zafiyetidir. Bu açık ağırlıklı olarak yalnızca TPM koruması kullanan Windows 11 ve Windows Server 2022/2025 sistemlerini etkilemektedir. CVE-2026-50507 ('bitskrieg' olarak bilinen) ise benzer nitelikte ikinci bir BitLocker atlatma açığı olup her iki zafiyet de 'Nightmare Eclipse' takma adlı güvenlik araştırmacısı tarafından Microsoft'un hata ödül ve güvenlik açığı bildirimi süreçlerine duyulan protestonun bir parçası olarak kamuoyuna açıklanmıştır.
Windows Collaborative Translation Framework'ü etkileyen 'GreenPlasma' (CVE belirtilmemiş) zafiyeti, 'link following' tekniğini kullanarak yetkili bir saldırganın SYSTEM ayrıcalıklarına yükselmesine imkân tanımaktadır. Nightmare Eclipse'in kamuoyuna duyurduğu bu açık, araştırmacının aynı zaman diliminde açıkladığı BlueHammer, RedSun, UnDefend ve YellowKey serisiyle birlikte Microsoft'un güvenlik açığı yönetim politikasına yönelik kamuoyu baskısının somut bir yansımasıdır. Bu ay ayrıca Google'ın Chromium motoru kapsamında kapatılan 360 adet Microsoft Edge/Chromium zafiyeti de mevcuttur; ancak bunlar Patch Tuesday sayımına dahil edilmemiştir.
Finans sektörü için değerlendirildiğinde, HTTP/2 Bomb zafiyeti yüksek trafikli ödeme ağ geçitleri, API servisleri ve çevrimiçi bankacılık altyapılarında hizmet kesintisine doğrudan zemin hazırlayabilir. BitLocker bypass zafiyetleri ise fiziksel erişim riski taşıyan ATM donanımları, şube bilgisayarları ve sahadaki uç nokta cihazları için özellikle tehdit oluşturmaktadır. Kuveyt Türk ve benzeri finansal kuruluşların TPM+PIN yapılandırmasına geçişi acil öncelik olarak ele alması, ayrıca IIS/HTTP.sys barındıran sunuculara yönelik `MaxHeadersCount` kısıtlamasını vakit kaybetmeden uygulaması önerilmektedir.