Microsoft’un Aralık 2025 Patch Tuesday güncellemesi yayınlandı ve bu ay oldukça kritik bir güvenlik tablosu ortaya çıkıyor. Şirket, toplam 57 güvenlik açığını giderdiğini açıkladı. Bu açıkların içinde aktif olarak istismar edilen bir sıfır gün ve halka açık şekilde duyurulmuş iki sıfır gün güvenlik zafiyeti yer alıyor.
Bu ayki güncellemeler aynı zamanda üç önemli Uzaktan Kod Çalıştırma (RCE) açığını da kapatıyor. Microsoft’un sunduğu liste, şirketin son dönemde artan güvenlik tehditlerine karşı ne kadar agresif bir politika izlediğini gösteriyor.
Bu Ay Hangi Tür Açıklar Giderildi?
Microsoft’un açıkladığı 57 güvenlik açığı farklı kategorilere ayrılıyor. Şirketin paylaştığı dağılım şöyle:
- 28 adet Yetki Yükseltme Açığı
- 19 adet Uzaktan Kod Çalıştırma Açığı
- 4 adet Bilgi Sızdırma Açığı
- 3 adet Hizmet Engelleme (DoS) Açığı
- 2 adet Kimlik Sahteciliği Açığı
Bu tablo, özellikle yetki yükseltme ve RCE türü açıkların ne kadar kritik olduğunu gösteriyor. Çünkü bir saldırgan bu açıklar sayesinde sistem içinde daha yüksek haklara ulaşabiliyor veya uzaktan kod çalıştırarak sisteme tamamen hükmedebiliyor.
Microsoft’un bu listeye yalnızca bugün yayınlanan yamaları dahil ettiğini hatırlatalım. Örneğin Microsoft Edge için daha önce yayınlanan 15 açık veya ay içindeki diğer yamalar bu sayılara dâhil değil.
Bu Ayın Gündemi: 3 Adet Sıfır Gün Açığı
Aralık 2025 Patch Tuesday’in en önemli kısmı, üç adet sıfır gün açığının kapatılmış olması. Microsoft’un tanımına göre bir sıfır gün açığı:
- Halka açık şekilde duyurulan veya
- Aktif olarak istismar edildiği bilinen,
- Henüz resmi olarak düzeltilmemiş güvenlik hatalarıdır.
Bu ay bunlardan biri aktif olarak kullanılıyordu, diğer iki tanesi ise kamuya açıklanmıştı.
1) CVE-2025-62221 – Windows Cloud Files Mini Filter Driver Yetki Yükseltme Açığı (Aktif Olarak İstismar Edildi)
Bu ayın en önemli güvenlik sorunu kesinlikle bu açık. Çünkü saldırganlar tarafından gerçekte kullanıldığı doğrulanmış durumda.
Açık, Windows Cloud Files Mini Filter Driver bileşeninde yer alıyor. Bu bileşen, Windows’un bulut tabanlı dosya sistemlerinde dosya işlemlerini yönetmek için kullandığı kritik bir parça.
Açığın özeti şu şekilde:
- Bir yetkili saldırgan, sistemde belirli manipülasyonlar yaparak bu sürücüde use-after-free adı verilen bellek hatasını tetikleyebiliyor.
- Bu hata saldırgana SYSTEM yetkileri kazandırıyor.
- SYSTEM yetkisi, Windows’ta mümkün olan en üst seviye erişim demek. Yani saldırgan tüm sisteme hakim olabiliyor.
Microsoft, açığın nasıl istismar edildiğiyle ilgili detay paylaşmadı. Ancak açık, Microsoft’un iki önemli ekibi tarafından raporlandı:
Microsoft Threat Intelligence Center (MSTIC) ve Microsoft Security Response Center (MSRC).
Bunun anlamı, açık ya gerçek saldırılarda görüldü ya da hedefli saldırılar sırasında tespit edildi.
2) CVE-2025-64671 – GitHub Copilot for JetBrains Uzak Kod Çalıştırma Açığı (Kamuya Açıklandı)
Bu açık özellikle AI destekli IDE araçları kullananlar için dikkat çekici. Açık, GitHub Copilot’un JetBrains IDE’leri için kullanılan eklentisinde yer alıyor.
Microsoft’un açıklamasına göre sorun şu:
- Copilot, komut çalıştırırken kullanılan bazı özel karakterleri doğru şekilde temizlemedi.
- Bu da saldırganın komut enjeksiyonu yapmasına imkân tanıdı.
- Kötü niyetli biri, kullanıcının terminalinde otomatik olarak onaylanan komutlara ek komutlar ekleyebiliyor.
- Bu işlem, kötü amaçlı dosyalar veya zararlı MCP sunucuları üzerinden yapılabiliyor.
Bu açık, araştırmacı Ari Marzuk tarafından duyurulan “IDEsaster” isimli raporla geniş kitlelerin dikkatini çekmişti.
Bu tür bir açık, özellikle yazılım geliştiren kişiler için tehlikelidir çünkü geliştirici farkında olmadan terminalinde zararlı komutların çalışmasına izin verebilir.
3) CVE-2025-54100 – PowerShell Uzak Kod Çalıştırma Açığı (Kamuya Açıklandı)
Bu açık, PowerShell kullanan herkes için oldukça önemli. Çünkü saldırganlar, içine gömülü komut dosyaları bulunan zararlı bir web sayfasını, kurbanın PowerShell üzerinden çekmesini sağlayarak kod çalıştırabiliyor.
Sorun “Invoke-WebRequest” komutunun sayfa içeriklerini analiz ederken script kodlarını da çalıştırabilme ihtimali.
Microsoft bu sorunu gidermek için yeni bir güvenlik önlemi ekledi:
PowerShell artık kullanıcıya şu şekilde bir uyarı gösteriyor:
“Invoke-WebRequest parse işlemi sırasında web sayfasındaki script kodları çalıştırılabilir. Bu riski azaltmak için -UseBasicParsing parametresini kullanın.”
Yani PowerShell kullanıcıdan manuel onay almak istiyor. Bu, saldırı yüzeyini azaltmak için önemli bir değişiklik.
Açık birçok araştırmacı tarafından raporlandı. İçlerinde Türk araştırmacılar Melih Kaan Yıldız ve Osman Eren Güneş de bulunuyor.
Sonuç: Aralık 2025 Güvenlik Güncellemesi Kritik Öneme Sahip
Bu ayki yama paketi, sistem yöneticilerinin mutlaka hızlı bir şekilde uygulaması gereken güncellemeler içeriyor. Özellikle:
- Aktif olarak kullanılan sıfır gün açığı
- JetBrains eklentisindeki Copilot sorunu
- PowerShell’in beklenmedik script çalıştırma riski
gibi sorunlar ciddi siber saldırı riskleri oluşturuyor.
Microsoft’un bu yamaları hızlı şekilde yayınlaması önemli olsa da, kullanıcıların ve IT ekiplerinin de bu güncellemeleri gecikmeden kurması gerekiyor.
