Microsoft Eylül 2025 Patch Tuesday: 81 güvenlik açığı kapatıldı, iki sıfır gün zafiyeti yamalandı
Microsoft’un Eylül 2025 Patch Tuesday paketi, Windows ve SQL Server bileşenlerinde toplam 81 güvenlik açığını gideriyor. Dokuz “Kritik” zafiyetin yer aldığı güncellemeler arasında, Windows SMB Sunucusu’nda ayrıcalık yükseltmeye yol açan (CVE-2025-55234) ve SQL Server’da kullanılan Newtonsoft.Json kütüphanesindeki hizmet reddi zafiyeti (CVE-2024-21907) dahil iki kamuya açıklanmış sıfır gün bulunuyor. Yöneticilere SMB imzalama ve EPA sıkılaştırmasına geçiş öncesi uyumluluk denetimi etkinleştirme uyarısı yapılıyor.
Microsoft, Eylül 2025 Patch Tuesday kapsamında 81 güvenlik açığını gideren güncellemeleri yayımladı. Paket, dokuz “Kritik” zafiyet içeriyor: beş uzaktan kod yürütme (RCE), bir bilgi ifşası ve iki ayrıcalık yükseltme (EoP). Dağılıma göre 41 EoP, 2 güvenlik özelliği atlatma, 22 RCE, 16 bilgi ifşası, 3 hizmet reddi ve 1 kimlik sahteciliği zafiyeti düzeltildi.
İki kamuya açıklanmış sıfır gün düzeltildi.
-
CVE-2025-55234 – Windows SMB EoP. Konfigürasyona bağlı olarak SMB Sunucusu’nda röle saldırılarıyla ayrıcalık yükseltme mümkün olabiliyor. Microsoft, SMB Server Signing ve Extended Protection for Authentication (EPA) etkinleştirilmesini öneriyor; ancak eski cihazlarla uyumluluk sorunlarına karşı SMB istemci uyumluluğu için denetim desteği bu ayki güncellemelerle etkinleştirildi.
-
CVE-2024-21907 – Newtonsoft.Json (SQL Server bileşeni). 13.0.1 öncesi sürümlerde istisna koşullarının hatalı ele alınması, JsonConvert.DeserializeObject üzerinden StackOverflow ile hizmet reddine yol açabiliyor. SQL Server için yayımlanan güncellemeler, etkilenen kütüphaneyi güncelliyor.
Öne çıkan diğer alanlar.
Paket; Microsoft Office ve Excel’de birden fazla RCE, Windows Graphics/Win32K bileşenlerinde kritik RCE, Hyper-V’de EoP/RCE, BitLocker ve LSASS’ta EoP, RRAS’ta bilgi ifşası ve RCE, NTFS’te RCE, SMBv3 istemcide RCE gibi geniş bir yelpazeyi kapsıyor. Microsoft, bu kapsamda kritik bileşenlerin hızlı uygulanmasını ve özellikle SMB sıkılaştırma öncesi denetim günlüklerinin etkinleştirilmesini öneriyor.
Kapsam hatırlatması.
Rakamlar yalnızca Patch Tuesday gününde yayımlanan yamaları kapsıyor; ayın başında düzeltmesi yayımlanan Azure, Edge, Mariner ve Xbox zafiyetleri bu sayılara dahil edilmedi.
Diğer üreticilerden güncellemeler.
Aynı dönemde Adobe (Magento “SessionReaper”), Argo (Argo CD), Cisco (WebEx/ASA), Google (Android, iki aktif sömürü), SAP (NetWeaver), Sitecore (CVE-2025-53690), TP-Link (bazı yönlendiricilerde yeni sıfır gün) için de güvenlik bültenleri yayımlandı.
Yöneticiler için notlar.
-
SMB Server Signing/EPA etkinleştirilmeden önce yeni denetim desteği ile uyumluluk taraması yapılmalı.
-
SQL Server düğümlerinde Newtonsoft.Json güncellemelerinin alındığı doğrulanmalı.
-
Hyper-V, Win32K/Graphics, Office/Excel ve RRAS yamaları önceliklendirilmeli.
Kaynak: Beykozun Sesi
Tepkiniz Nedir?
Beğenmek
0
Beğenmemek
0
Aşk
0
Eğlenceli
0
Sinirli
0
Üzgün
0
Vay
0
