Mayıs 2026 Yama Tablosu: Genel Bakış
Bu ay yayınlanan güncellemeler, herhangi bir "sıfırıncı gün" (zero-day) zafiyeti içermemesiyle dikkat çekse de, toplamda 17 adet "Kritik" seviye zafiyeti kapatıyor. Giderilen açıkların dağılımı siber tehditlerin ciddiyetini gözler önüne seriyor:
- 61 Ayrıcalık Yükseltme (Elevation of Privilege)
- 31 Uzaktan Kod Çalıştırma (RCE)
- 14 Bilgi İfşası (Information Disclosure)
- 13 Kimlik Taklidi (Spoofing)
- 8 Hizmet Dışı Bırakma (DoS)
Özellikle Microsoft Office, SharePoint ve Windows DNS Client tarafındaki açıklar, sadece bir dosyayı önizleyerek veya kötü niyetli bir DNS yanıtı alarak sistemlerin ele geçirilmesine neden olabiliyordu.
Perde Arkasındaki Güç: MDASH AI Sistemi
Microsoft, bu ayki yamaların 16 tanesinin (iki tanesi kritik RCE olmak üzere) bizzat kendi geliştirdiği MDASH (Multi-model Agentic Scanning Harness) tarafından keşfedildiğini duyurdu.
MDASH Nedir ve Nasıl Çalışır?
MDASH, tek bir AI modeli yerine 100’den fazla özelleşmiş AI ajanını yöneten devasa bir orkestra gibi çalışıyor. Bu sistem, Windows gibi karmaşık kod yapılarını otonom olarak tarıyor, hataları buluyor ve bunların gerçekten istismar edilip edilemeyeceğini kanıtlıyor.
Sistemin "Ajanik" (Agentic) yapısı üç ana aşamadan oluşuyor:
- Denetçi Ajanlar: Kaynak kodu tarayıp şüpheli yolları işaretler.
- Tartışmacı Ajanlar: İşaretlenen bulguyu kendi aralarında tartışır. Eğer bir denetçi açık olduğunu iddia eder ve tartışmacı bunu çürütemezse, bulgunun doğruluğu tescillenir.
- Kanıtlayıcı Ajanlar: Zafiyetin varlığını teknik olarak ispatlar.
MDASH’in İlk Büyük Avları
Bu ayki yamalar arasında MDASH tarafından bulunan en kritik açıklar şunlar:
- CVE-2026-33824 (9.8 Skor): ikeext.dll üzerinde, kimlik doğrulaması gerektirmeyen uzaktan kod çalıştırma açığı.
- CVE-2026-33827 (8.1 Skor): Windows TCP/IP yığınında (tcpip.sys) bulunan ve IPv6 paketleri üzerinden tetiklenen bir yarış durumu (race condition) hatası.
Sonuç: Savunma Hattı Artık Otonom Ajanlara Emanet
Microsoft’un MDASH hamlesi, Anthropic’in Project Glasswing ve OpenAI’ın Daybreak girişimleriyle birleştiğinde siber güvenliğin yeni savaş alanını belirliyor: Yapay Zeka Ajanları.
Artık mesele sadece zafiyet bulmak değil, bu zafiyetleri saldırganlardan önce, otonom sistemlerle saniyeler içinde tespit edip yamalamak. Yapay zeka, siber savunmada bir "araştırma konusu" olmaktan çıkıp, üretim bandındaki en güçlü koruma kalkanı haline gelmiş durumda.
Sistem yöneticilerine not: Her ne kadar bu ay zero-day bulunmasa da, özellikle Office ve DNS Client zafiyetleri "kritik" statüsünde. Mayıs 2026 güncellemelerini zaman kaybetmeden uygulamanız önerilir!
Kaynakça
- BleepingComputer: Microsoft May 2026 Patch Tuesday fixes 120 flaws, no zero-days – Lawrence Abrams (12 Mayıs 2026).
- The Hacker News: Microsoft's MDASH AI System Finds 16 Windows Flaws Fixed in Patch Tuesday – Ravie Lakshmanan (13 Mayıs 2026).
- Microsoft Security Response Center (MSRC): May 2026 Security Update Guide.
- Microsoft AI Blog: Introduction to Multi-model Agentic Scanning Harness (MDASH) for Enterprise Defense.
