Microsoft, bu ay teknoloji dünyasının gündemine iki büyük haberle damga vurdu. Bir yandan Eylül ayı güvenlik güncellemesiyle yüzlerce kritik açığı kapatırken, diğer yandan yapay zeka asistanı Copilot’a OpenAI’a alternatif olarak Anthropic modellerini entegre edeceğini duyurdu. Bu gelişmeler, şirketin hem siber güvenlikteki kararlı duruşunu hem de yapay zeka alanındaki rekabetçi vizyonunu gözler önüne seriyor.
Eylül Yaması: İkisi Kamuoyuna Sızmış 86 Güvenlik Açığı Kapatıldı
Microsoft, “Yama Salısı” kapsamında yayınladığı Eylül ayı güvenlik paketiyle, yazılım portföyündeki 81 ila 86 arasında güvenlik açığını giderdi. Bu açıkların en az sekizi “kritik” olarak sınıflandırılırken, ikisinin henüz yama yayınlanmadan kamuoyu tarafından bilinen “sıfırıncı gün” (zero-day) açıkları olması, siber güvenlik uzmanlarını alarma geçirdi.
Güncellemeler; Windows’un çeşitli sürümleri, Microsoft Office, SQL Server ve Windows Hyper-V gibi geniş bir ürün yelpazesini kapsıyor. Henüz bu zafiyetlerin aktif olarak kullanıldığına dair bir kanıt olmasa da, özellikle iki sıfırıncı gün açığının detaylarının bilinmesi, siber saldırı riskini ciddi ölçüde artırıyor. Bu nedenle, BT yöneticilerinin yamaları vakit kaybetmeden yüklemesi hayati önem taşıyor.
Acil Eylem Gerektiren “Sıfırıncı Gün” Zafiyetleri
Bu ayın en acil sorunları, yaması çıkmadan önce bilgileri sızdırılan iki güvenlik açığı oldu. İlk zafiyet olan CVE-2025-55234, Windows Sunucu Mesaj Bloğu (SMB) protokolünde bulunan bir ayrıcalık yükseltme açığı olarak tanımlandı. Microsoft’a göre bu açık, saldırganların “relay” tipi saldırılarla sistem üzerindeki yetkilerini artırmasına olanak tanıyabilir. Henüz aktif bir saldırı tespit edilmemiş olsa da, açığın kamuya mal olması, potansiyel saldırı kodlarının çoktan geliştirilmiş olabileceği anlamına geliyor.
İkinci kritik “sıfırıncı gün” açığı ise CVE-2024-21907 koduyla biliniyor ve Microsoft SQL Server’a entegre bir kütüphane olan Newtonsoft.Json’daki bir hatayı hedef alıyor. Bu zafiyet, özel olarak hazırlanmış verilerle sistemin istisnai durumları hatalı işlemesine neden olarak “hizmet reddi” (Denial-of-Service) saldırılarına yol açabiliyor. Newtonsoft.Json kütüphanesinin .NET ekosisteminde yaygın olarak kullanılması, bu açıktan kaynaklanabilecek kesintilerin etkisini daha da büyütüyor.
NTLM ve NTFS’teki Kritik Açıklar Sistemleri Tehdit Ediyor
“Sıfırıncı gün” açıklarının yanı sıra, Eylül güncellemesi saldırganlara sistemler üzerinde tam kontrol sağlama potansiyeli taşıyan çok sayıda kritik zafiyeti de giderdi. Bunlar arasında en dikkat çekeni, kimliği doğrulanmış bir saldırganın ağ üzerinden uzaktan kod çalıştırmasına imkan tanıyan Windows NTFS (CVE-2025-54916) açığı oldu.
Ayrıca, Windows NTLM protokolünde tespit edilen ve 8,8 gibi yüksek bir CVSS puanına sahip CVE-2025-54918 kodlu kritik ayrıcalık yükseltme zafiyeti, saldırganlara en üst düzey olan “SİSTEM” yetkilerini ele geçirme fırsatı tanıyabilirdi. Bu, Microsoft’un art arda ikinci ayda NTLM üzerinde kritik bir düzeltme yayınlaması anlamına geliyor.
Yapay Zeka Arenasında Yeni Dönem: Copilot’a Anthropic Desteği
Microsoft, güvenlik gündeminin yanı sıra yapay zeka stratejisinde de önemli bir adım attı. Milyarlarca dolarlık yatırım yaptığı OpenAI modellerine dayanan Copilot platformuna, artık rakip Anthropic’in yapay zeka modellerini de entegre ediyor. Bu hamleyle Microsoft, müşterilerine farklı görevler için farklı yapay zeka modellerini seçme esnekliği sunmayı hedefliyor.
Entegrasyon, ilk olarak yapay zeka ajanları oluşturmaya yönelik Microsoft Copilot Studio‘da başlayacak. Kullanıcılar, isteğe bağlı olarak Anthropic’in Claude Sonnet 4 ve Claude Opus 4.1 modellerini aktive edebilecekler. Bu yeniliğin yakın gelecekte Microsoft 365 Copilot‘a da getirilmesi planlanıyor. Microsoft’un İş ve Endüstri Copilot’undan sorumlu başkanı Charles Lamanna, “Bu sadece bir başlangıç. Amacımız, her iş sürecini yapay zeka ajanlarıyla dönüştürmek,” diyerek şirketin bu alandaki kararlılığını vurguladı.
Bu entegrasyonun dikkat çeken bir detayı ise, Anthropic modelleri seçildiğinde verilerin Microsoft’un bulut altyapısı yerine, bu modelleri barındıran Amazon Web Services’e (AWS) aktarılacak olması. Ancak bu durumun, artan talebe bağlı olarak gelecekte değişebileceği öngörülüyor.