22 posts
CVE-2026-42897 adlı açık, CISA'nın acil listesine girdi ve şu anda gerçek saldırılarda kullanılıyor. CVSS skoru 8.1 olan bu cross-site scripting açığı, Exchange Server 2016, 2019 ve Subscription Edition sürümlerini hedefliyor. Tek bir yanlış yapılandırılmış sunucu tüm domain'i ele geçirmek için yeterli. Federal kurumlar 29 Mayıs 2026'ya kadar savunma alması gerekli.
Anthropic'in Claude Mythos Preview yapay zekası, macOS kernel belleğinde halka açık ilk açığı keşfetti ve Mozilla Firefox'ta 271 hatayı tanımladı. Hızlı bir keşif makinesi olsa da, gerçek exploit zincirleri geliştirmek için hala insan araştırmacıların yönlendirilmesine ihtiyaç duyuyor—bu da AI güvenlik testinin gücü ve sınırlarını net bir şekilde gösteriyor.
Nisan-Mayıs 2026'de Google Chrome, kullanıcılarına hiçbir bildirim gönderip haber vermeden 4GB'lık Gemini Nano yapay zeka modelini milyonlarca cihaza kurdu. Güvenlik araştırmacısı Alexander Hanff, bu işlemin Avrupa'nın katı GDPR kurallarını ihlal ettiğini ispatladıktan sonra Google sözcüsü modelin kapatılıp kaldırılabileceğini söyleyerek açıklama yaptı.
YellowKey açığı, PIN koruması olmayan Windows 11 BitLocker modunda USB üzerinden yüklenen araçlarla fiziksel erişim aracılığıyla şifrelemek devre dışı bırakılabiliyor. Nightmare-Eclipse tarafından açıklanan beş sıfır günlük açığından ikisi gerçek dünyada saldırılarda aktif kullanılmış; Bridewell tehdit istihbaratına göre PIN ve BIOS şifre kilidi bu riski ciddi oranda azaltıyor.
Dünya genelindeki web sitelerinin üçte birini çalıştıran NGINX yazılımında DepthFirst AI tarafından keşfedilen CVE-2026-42945 adlı uzaktan kod çalıştırma açığı, şaşırtıcı bir soruyu gündeme getiriyor: insan güvenlik araştırmacıları neden bu kadar uzun süre göz ardı ettiler? CVSS 9.2 kritiklik puanıyla ve hiçbir kimlik doğrulaması gerektirmeden tetiklenebilen bu zafiyet, URL yeniden yazma kurallarının yaygın kullanımı nedeniyle milyonlarca sunucuyu tehdit ediyor.
Palo Alto Networks, Mythos ve GPT-5.5-Cyber araçlarıyla bir ayda 75 zafiyet keşfetti; bu, normalin yediye katı. Sorun şurada: yapay zeka sistemleri %70 başarıyla çalışan exploit zinciri üretiyor, oysa şirketler yamaları kurgulamak için 3-5 ay harcıyor. Bu zamansal uçurum, 2026'da saldırgan avantajını tamamen yeniden tanımlamakta.
Bir araştırmacı, Windows 11 ile Windows Server 2022/2025'teki BitLocker korumasını fiziksel erişimle atlatmaya izin veren YellowKey açığını ortaya çıkardı. USB bellek ve basit tuş kombinasyonu aracılığıyla tetiklenen bu kritik açık, bağımsız güvenlik uzmanları tarafından da başarıyla yeniden üretildi ve Microsoft'un en güçlü veri koruma sisteminin ne kadar savunmasız olduğunu gözler önüne serdi.
Google'ın tehdit istihbaratı grubu, siber suçluların iki faktörlü kimlik doğrulamayı atlatmak için yapay zeka kullanarak otomatik olarak ürettiği bir Python betik açığını gerçek saldırıda tespit etti. Tehdit analisti John Hultquist'in uyarısına göre AI açığı yarışı artık başlamış durumda; Kuzey Kore devlet aktörü APT45 ise binlerce açık yararlanma metodunu test etmek için yapay zekadan faydalanıyor.
Anthropic'in Mythos modeli iki ayda Firefox'ta 271 güvenlik açığını tespit etti; 180'i canlı sistemleri tehdit eden kritik seviyedeydi. Oysa bu başarının gerçek kahramanı modelin kendisi değil, insan geliştiriciyle aynı araçlara erişim sağlayan 'agent harness' altyapısı olabilir — ve bu fark, yapay zekanın siber güvenliğe açtığı kapının aslında ne kadar sınırlı olduğunu açığa çıkarıyor.
Google Play Services 25.41.30 sürümü artık zorunlu hale geldi ve yeni reCAPTCHA sistemi GrapheneOS gibi açık kaynak işletim sistemlerini doğrudan dışarıda bırakıyor. Şüpheli aktivite algılandığında görüntü bulmacalarını atlayan sistem, kullanıcıları QR kod doğrulamasına mecbur ediyor—ama bu adımda de-Googled cihazlar tamamen başarısız oluyor. Bu tasarım kararı, güvenliği bahane ederek Google'ın ekosistem kontrolünü mutlaklaştırmasının açık bir örneğidir.
Güvenlik araştırmacısı Tom Jøran Sønstebysæter Rønning'in bulgusu, Microsoft Edge'in başlangıçta kaydedilmiş şifreleri bellekte düz metin olarak tuttuğunu ortaya koydu. Chrome'un yalnızca oto-doldurma anında şifreleri çözen ve derhal silen mimarisiyle karşılaştırıldığında, Edge'in tüm şifreleri baştan itibaren RAM'de açık tutması—yönetici ayrıcalığına sahip bir saldırgan için kapı açık bırakıyor. Bu tasarım tercihi neden bu kadar riskli?
İki haftada patlak veren Copy Fail ve Dirty Frag açıkları, Linux dağıtımlarının yama kabiliyetini zorladı. Cloudflare'nin Copy Fail'e karşı bir gecede BPF-LSM çözümü tasarlaması teknik başarı gösterirken, Theori'nin açıklamasından beş gün sonra yüzlerce saldırı kodunun ortaya çıkması, güvenlik araştırması camiasında ciddi bir güven sorunu yaratmış durumda.
Microsoft Phone Link üzerinden SMS ve OTP mesajlarınıza erişim sağlayan Windows, CloudZ'un Pheno adlı eklentisi tarafından hedef alındı. Sahte ScreenConnect güncellemesi aracılığıyla sisteme sızan malware, regasm.exe'yi kötüye kullanarak köke iniyor ve iki faktörlü doğrulamayı başarıyla atlatıyor.
Canvas platformu tekrar hedef alındı ve 275 milyon öğrencinin kimliği, e-postası ve özel mesajları açığa çıktı. Siber suçlular artık tek tek okulları değil, milyonlarca kullanıcıya ulaşan eğitim teknolojisi şirketlerini vuruyor—ve bu strateji etkisini kanıtlıyor.
Google'ın yapay zeka komut satırı aracında sürüm 0.39.1'den önceki versiyonlarda, yapılandırma dosyaları hiçbir doğrulama yapılmaksızın otomatik olarak güvenilir kabul ediliyordu. Bu tasarım hatası saldırganların ortam değişkenleri üzerinden isteğe bağlı kod çalıştırmasına kapı açtı. Cursor IDE'de benzer açıkların ortaya çıkması, tek bir gerçeği gösteriyor: AI ajanlarına kod yürütme izni vermeden önce, bu komutu kimin yayınladığını doğrulamak sadece iyi bir uygulama değil, güvenlik mimarisiyle birlikte gelmesi gereken temel bir gereksinimdir.
CopyFail olarak adlandırılan CVE-2026-31431, Linux çekirdeğinin kriptografik API'sinde 2017'den beri gizlenen bir mantık hatası. Herhangi bir sıradan kullanıcı, tek bir satırlık Python betiğiyle sistem üzerinde tam kontrol sağlayabiliyor. Önemli olan nokta: açık kod kamuoyuna açıldığında çoğu Linux dağıtımı hâlâ güvenlik yamasını yayınlamamıştı.
Şifresiz, sadece HTTP başlık manipülasyonuyla binlerce web sitesine yönetici erişimi sağlayan CVE-2026-41940 açığı en az 30 gündür gerçek saldırılarda aktif olarak kullanılıyor. Namecheap ve HostGator acil müdahale ederken, KnownHost'un altyapısında 30 sunucuda yetkisiz erişim girişimleri ortaya çıktı.
CrowdStrike, kendi sunucularında çalıştırılan LogScale versiyonunda kimlik doğrulaması olmadan dosya okuma sağlayan bir açık (CVE-2026-40050) keşfetti. Zafiyet, küme API'sinde sunucunun dosya sistemine sınırsız erişim imkanı veriyor. SaaS kullanıcıları nisan 2026'den bu yana ağ katmanında koruma alırken, kendi altyapısını yönetenlerin acil güncelleme yapması gerekiyor.
Anthropic'in Mythos sistemi Firefox'taki 271 güvenlik açığını otomatik olarak bulabilmek—bu yapay zekanın siber savunmada saldırganlara karşı ilk kez karar verici üstünlük sağladığını gösteriyor. Ancak bu teknolojiye erken erişim imkanına sahip mega korporasyonlar ile korumasız açık kaynak projelerinin geliştiricileri arasında açılan güvenlik farkı, dijital ekosistemin en zayıf halkalarını hedef haline getiriyor.
Bir güvenlik araştırmacısının Microsoft ile yaşadığı anlaşmazlık, savunmacılar ve saldırganlar arasında ölümcül bir yarışı tetikledi. Windows'taki kritik exploitler artık gerçek kuruluşların hedefi haline geldi ve şirketler her gün yeni saldırılarla karşı karşıya.
Koordine edilmemiş güvenlik açıklaması pratikleri, Microsoft Defender kullanıcılarını beklenmedik bir tehlike karşısına koymaktadır. Bilgisayar korsanları, hazır kullanıma uygun saldırı araçlarına erişerek, milyonlarca Windows cihazını risk altına almaktadır. Sorumlu açıklama sürecinin başarısızlığı, siber güvenlik ortamında yeni bir çağı işaret etmektedir.
Nisan 2026 Patch Tuesday güncellemesi, siber güvenliğin çatışan iki gerçekliğini ortaya koyuyor: Microsoft 167 açığı kapatırken, yapay zeka destekli tehditler daha hızlı evrim geçiriyor. İnsan ve makine arasındaki bu yarış, geleneksel savunma stratejilerinin artık yetersiz olduğunu gösteriyor.