Bugün Microsoft'un Aralık 2025 Yaması Salı günü; bu yama, biri aktif olarak yararlanılan ve ikisi kamuya açıklanan sıfır gün güvenlik açığı dahil olmak üzere 57 kusuru düzeltiyor.
Bu Salı Yaması aynı zamanda üç "Kritik" uzaktan kod yürütme güvenlik açığını da ele alıyor.
Her bir güvenlik açığı kategorisindeki hata sayısı aşağıda listelenmiştir:
BleepingComputer Salı Yaması güvenlik güncellemelerini rapor ederken, yalnızca Microsoft tarafından bugün yayımlananları sayarız. Bu nedenle kusur sayısına Microsoft Edge (15 kusur) ve bu ayın başlarında düzeltilen Mariner güvenlik açıkları dahil değildir.
Bugün yayımlanan güvenlikle ilgili olmayan güncelleştirmeler hakkında daha fazla bilgi edinmek için Windows 11 KB5072033 ve KB5071417 toplu güncelleştirmelerine ilişkin özel makalelerimizi inceleyebilirsiniz.
Salı Yaması güncellemelerinde gecikmeler, kör noktalar veya önceliklendirme sorunları yaşıyorsanız Action1 ile yaptığımız son web seminerimiz, modern yama yönetiminin kuruluşların yama uygulamasını daha hızlı gerçekleştirmesine ve riski azaltmasına nasıl yardımcı olduğunu gösteriyor.
Bu ayın Salı Yaması, aktif olarak yararlanılan bir ve kamuya açıklanmış iki sıfır gün güvenlik açığını düzeltir.
Microsoft, sıfır gün kusurunu kamuya açıklanmış veya resmi bir düzeltme mevcut olmasa da aktif olarak yararlanılmış olarak sınıflandırır.
Aktif olarak yararlanılan sıfır gün:
CVE-2025-62221 - Windows Bulut Dosyaları Mini Filtre Sürücüsünde Ayrıcalık Yükselmesi Güvenlik Açığı
Microsoft, Windows Bulut Dosyaları Mini Filtre Sürücüsünde aktif olarak yararlanılan bir ayrıcalık yükseltme güvenlik açığını yamaladı.
Microsoft, "Windows Cloud Files Mini Filtre Sürücüsünde ücretsiz kullanım, yetkili bir saldırganın ayrıcalıkları yerel olarak yükseltmesine olanak tanır" diye açıklıyor.
Microsoft, kusurdan başarıyla yararlanmanın saldırganların SİSTEM ayrıcalıkları kazanmasına olanak sağladığını söylüyor.
Microsoft, kusuru Microsoft Tehdit İstihbaratı Merkezi (MSTIC) ve Microsoft Güvenlik Yanıt Merkezi'ne (MSRC) bağladı ancak kusurun nasıl istismar edildiğini paylaşmadı.
Kamuya açıklanan sıfır gün kusurları şunlardır:
CVE-2025-64671 - Jetbrains Uzaktan Kod Yürütme Güvenlik Açığı için GitHub Copilot
Microsoft, bir saldırganın komutları yerel olarak yürütmesine olanak tanıyan, kamuya açıklanmış bir GitHub Copilot kusurunu yamaladı.
Microsoft, "Copilot'ta bir komutta ('komut ekleme') kullanılan özel öğelerin uygun olmayan şekilde nötrleştirilmesi, yetkisiz bir saldırganın kodu yerel olarak yürütmesine olanak tanır" diye açıklıyor Microsoft.
Microsoft, bu kusurun güvenilmeyen dosyalara veya MCP sunucularına Çapraz İstem Ekleme yoluyla yararlanılabileceğini söylüyor.
Microsoft, "Güvenilmeyen dosyalara veya MCP sunucularına kötü amaçlı bir Çapraz İstem Ekleme yoluyla, bir saldırgan, bunları kullanıcının terminal otomatik onaylama ayarında izin verilen komutlara ekleyerek ek komutlar yürütebilir" diye devam etti Microsoft.
Microsoft, kusuru yakın zamanda "IDEsaster: AI IDE'lerde Yeni Bir Güvenlik Açığı Sınıfı" raporunun bir parçası olarak açıklayan Ari Marzuk'a bağladı.
CVE-2025-54100 - PowerShell'de Uzaktan Kod Yürütme Güvenlik Açığı
Microsoft, bir web sayfasına yerleştirilmiş komut dosyalarının, sayfa Invoke-WebRequest kullanılarak alındığında yürütülmesine neden olabilecek bir PowerShell güvenlik açığını düzeltti.
Microsoft, "Windows PowerShell'de bir komutta ('komut ekleme') kullanılan özel öğelerin uygun olmayan şekilde nötrleştirilmesi, yetkisiz bir saldırganın kodu yerel olarak yürütmesine olanak tanır" diye açıklıyor Microsoft.
Microsoft, PowerShell 'Invoke-WebRequest'i kullandığında, kod yürütülmesini önlemek için kullanıcıdan -UseBasicParsing'i eklemesini isteyen bir uyarı görüntüleyen bir değişiklik yaptı.
Microsoft bu kusuru aralarında Justin Necke, DeadOverflow, Pēteris Hermanis Osipovs, Anonymous, Melih Kaan Yıldız ve Osman Eren Güneş'in de bulunduğu çok sayıda araştırmacıya bağlıyor.
Aralık 2025'te güncelleme veya öneri yayınlayan diğer satıcılar arasında şunlar yer almaktadır:
Aşağıda Aralık 2025 Yaması Salı güncellemelerinde giderilen güvenlik açıklarının tam listesi bulunmaktadır.
Her bir güvenlik açığının ve etkilediği sistemlerin tam açıklamasına erişmek için raporun tamamını burada görüntüleyebilirsiniz.
Güncelleme 12/10/25: Sıfır günlerle ilgili alt bölüm başlığımız, yanlışlıkla bir yerine iki gün kullanıldığını söylüyordu.
Bozuk IAM yalnızca bir BT sorunu değildir; etkisi tüm işletmenize yayılır.
Bu pratik kılavuz, geleneksel IAM uygulamalarının neden modern taleplere ayak uydurmakta başarısız olduğunu, "iyi" IAM'nin neye benzediğine dair örnekleri ve ölçeklenebilir bir strateji oluşturmak için basit bir kontrol listesini kapsar.
Microsoft Kasım 2025 Yaması Salı, 1 sıfır gün, 63 kusuru düzeltti
Microsoft Ekim 2025 Yaması Salı, 6 sıfır gün ve 172 kusuru düzeltti
Windows 11 KB5072033 ve KB5071417 toplu güncelleştirmeleri yayınlandı
Yeni Windows sıfır günü, 2017'den bu yana 11 eyaletteki bilgisayar korsanlığı grubu tarafından istismar ediliyor
Microsoft, ilk Windows 10 genişletilmiş güvenlik güncelleştirmesi olan KB5068781'i yayımladı
Kaynak: Bleeping Computer