Microsoft, Kasım 2025 Patch Tuesday güncellemesini kullanıcılarla buluşturdu. Her ay olduğu gibi bu ay da çok sayıda güvenlik açığı giderildi. Şirket, güncelleme kapsamında sistem kararlılığını artırırken, saldırganların istismar edebileceği kritik açıkları da kapattı. Özellikle Windows çekirdeğinde tespit edilen aktif bir sıfır gün zafiyeti bu ayın en dikkat çeken güvenlik onarımı oldu.
Microsoft Kasım 2025 Patch Tuesday: 63 Güvenlik Açığı Giderildi
Microsoft’un Kasım ayı güvenlik paketi toplam 63 farklı güvenlik açığını kapsıyor. Bu açıkların dördü kritik, 29’u ayrıcalık yükseltme, 16’sı uzaktan kod çalıştırma, 11’i bilgi sızdırma, 3’ü hizmet reddi (DoS) ve 2’si kimlik sahtekârlığı (spoofing) kategorilerinde sınıflandırılıyor.
En dikkat çekici düzeltme, Windows çekirdeğinde tespit edilen ve aktif olarak istismar edilen bir sıfır gün açığına ait. CVE-2025-62215 koduyla kaydedilen bu zafiyet, yetkili bir saldırganın race condition hatasından yararlanarak sistem düzeyinde yetki elde etmesine olanak tanıyordu. Microsoft, bu açığın Microsoft Threat Intelligence Center (MSTIC) ve Microsoft Security Response Center (MSRC) ekipleri tarafından tespit edildiğini doğruladı.
Bunun yanı sıra güncelleme, Microsoft Office, SharePoint, Excel, Visual Studio, SQL Server ve Windows DirectX gibi birçok önemli bileşene yönelik güvenlik iyileştirmeleri içeriyor. Özellikle DirectX Graphics Kernel ve Microsoft Office bileşenlerinde uzaktan kod yürütme hatalarının giderilmesi, sistem güvenliği açısından büyük önem taşıyor.
Microsoft ayrıca, Windows 10 için ilk Genişletilmiş Güvenlik Güncellemesi (ESU) dönemini başlattı. Şirket, artık destek dışı kalan Windows 10 kullanıcılarına, ücretli ESU programına katılmalarını veya Windows 11’e geçiş yapmalarını tavsiye ediyor. Ayrıca, programa kayıt sırasında yaşanan hataları gidermek için ek bir out-of-band düzeltme yaması da yayınlandı.
Kasım ayı yalnızca Microsoft için değil, diğer teknoloji devleri için de yoğun geçti. Adobe, Cisco, Google, Fortinet ve Samsung gibi şirketler de kendi güvenlik yamalarını aynı dönemde yayımladı. Özellikle Google’ın Android güvenlik bülteni ve Cisco’nun ASA sistemlerine yönelik yamaları, bu ayın siber güvenlik gündeminde öne çıkan diğer önemli başlıklar oldu.