Microsoft, Ocak 2025 Yamasını Yayınladı

Microsoft’un Ocak 2025 yaması, 161 farklı üründe bulunan toplam 161 güvenlik açığını gideriyor ve bu yamada, kullanımda olan üç sıfır gün hatası da bulunuyor. CVE-2025-21333, CVE-2025-21334 ve CVE-2025-21335 olarak izlenen üç güvenlik açığı, Windows Hyper-V NT Kernel Entegrasyonu VSP’de bulunuyor ve ciddiyet puanları 7.8 (yüksek) olarak belirlendi.

Microsoft’un açıklamasına göre, “bu güvenlik açığını başarıyla sömüren bir saldırgan SİSTEM ayrıcalıklarını elde edebilir.”

CISA, Bilinen Kötüye Kullanılan Güvenlik Açıklıkları (KEV) kataloğuna ekledi

Diğer ayrıntılar şu anda bilinmiyor çünkü Microsoft, kullanıcıların yamayı uygulamaları için yeterli zamanı vermekte ve saldırganların akınına uğramadan önce kullanıcıların yamayı uygulamanı sağlamaktadır. Dolayısıyla, tehdit aktörlerinin kim olduğunu, kurbanların kimler olduğunu veya saldırganların hedeflerinin BT altyapısını nasıl ele geçirdiğini şu anda bilmiyoruz.

Ancak, Hacker News’in yazısında; üçünün ayrıcalık yükseltme hataları olduğu ve Tenable’ın üst düzey araştırma mühendisi Satnam Narang’a atıfta bulunarak “muhtemelen saldırganlar, başka bir şekilde bir hedef sistemine zaten eriştiği noktada bu hataları kullandıklarını” belirtiyor

Güvenlik açıkları şu anda etkin olarak kötüye kullanıldığı için kullanıcıların yamayı derhal uygulamaları önerilir. CISA, tüm üçünü de Bilinen Kötüye Kullanılan Güvenlik Açıklıkları (KEV) kataloğuna eklemiş olup federal ajanslara 4 Şubat tarihine kadar yama uygulama süresi verilmiştir. Bu üç hata, etkin bir şekilde kullanıldıkları için muhtemelen en tehlikeli olanlar olmakla birlikte, Microsoft aynı zamanda 11 kritik düzeyde hata da ele almıştır. Geri kalan 149’u önemli olarak derecelendirilmiştir.

Zero Day Initiative, bu yılın 2017’den bu yana en büyük Yama Salı günü olduğunu belirtti. Patch Tuesday’e ek olarak, Microsoft, Edge tarayıcı hatalarını ayrı bir yama ile ele alarak bu süreçte yedi güvenlik açığını giderdi.

Kaynak: The Hacker News