Microsoft, 14 Nisan 2026'da
tarihin ikinci büyük Patch Tuesday güncellemesini yayımladı: 167 güvenlik açığı, 11'i kritik. Bu rakam, Rapid7'den Adam Barnett'ın vurguladığı üzere neredeyse 60 tarayıcı açığı içermesiyle de dikkat çekiyor; araştırmacıya göre "bu artışın AI yeteneklerinin genişlemesiyle bağlantılı olduğu güvenli bir çıkarım."
İki sıfır-gün:
- CVE-2026-32201 (SharePoint, CVSS 6.5) — Yama yayımlanmadan önce aktif istismar. Input validation hatası → kimliksiz ağ tabanlı spoofing/XSS. İnternet'e açık SharePoint sunucuları derhal yamalanmalı.
- CVE-2026-33825 (Microsoft Defender, CVSS 7.8) — "BlueHammer": "Chaotic Eclipse" takma adlı araştırmacı 3 Nisan'da GitHub'a çalışan exploit yükledi; Microsoft'un sorumsuz açıklama süreci eleştirildi. Ayrıcalık yükseltme — aktif istismar henüz doğrulanmadı.
CVE-2026-33827 (Windows TCP/IP, Kritik): Kimliksiz uzak saldırgan kullanıcı etkileşimi gerektirmeden RCE gerçekleştirebiliyor — wormlanabilir potansiyel.
BitLocker kurtarma modu hatası ve
"Reset This PC" arızası da bu güncellemeyle giderildi.
Secure Boot sertifika krizi: 2011 sertifikaları
26 Haziran 2026'da (68 gün) sona eriyor. Nisan güncellemesi hedefli sertifika dağıtımına başladı.