Ara

Windows Defender’a Güncelleme: Disk Doldurma Riski Ortaya Çıktı!

Microsoft'un geçtiğimiz çarşamba günü yayımladığı Windows Defender'daki kritik bir güvenlik açığını kapatmaya yönelik yama, sistemlerde beklenmedik bir soruna yol açabilir. Açığı keşfeden araştırmacının bildirdiğine göre, bu güncelleme Windows makinelerinin, kullanılabilir disk alanını tamamen tüketecek boyutta dosyalar yazmasına neden olabilir.

RoguePlanet olarak bilinen ve CVE-2026-50656 olarak takip edilen bu güvenlik açığı, ilk olarak Haziran ayında, takma adı NightmareEclipse olan bir araştırmacı tarafından, beraberinde istismar kodunu da paylaşmasıyla kamuoyuna duyurulmuştu. Bu zafiyet, gerçek zamanlı koruma devre dışı bırakılsa dahi, uzaktaki saldırganların Windows 10 ve Windows 11 makineleri üzerinde yönetici kontrolü elde etmesine olanak tanıyordu. Geçtiğimiz aylarda aynı araştırmacı, Microsoft'u yamalama telaşına düşüren birkaç benzer sıfır gün açığını daha ortaya çıkarmıştı.

Sınırsız Dosya Yazma Potansiyeli

Microsoft çarşamba günü yaptığı açıklamada, Defender antivirüs uygulamasında kullanılan Microsoft Malware Protection Engine'e yönelik bir güncelleme ile RoguePlanet zafiyetini giderdiğini belirtti. Bu düzeltmenin, kullanıcıların herhangi bir işlem yapmasına gerek kalmadan otomatik olarak indirileceği ve yükleneceği ifade edildi. Çarşamba günkü güncelleme ayrıca, "güvenlikle ilgili özellikleri geliştirmeye yardımcı olacak derinlemesine savunma güncellemelerini" de içeriyordu.

Ancak NightmareEclipse, Perşembe günü yaptığı bir açıklamada, eklenen derinlemesine savunma önlemlerinin, saldırganların devasa miktarda veriyi diske yazarak tüm kullanılabilir alanı tüketebileceği bir duruma yol açabileceğini belirtti. Yeni getirilen bu önlemler, Microsoft Malware Protection Engine ile ilişkili sürücü olan mpengine.dll dosyasında bir soruna neden oluyor. Bu sorun, bazı durumlarda bir dosya açılmaya çalışıldığında 8 baytlık veri sızıntısına yol açıyor. Ayrıca, Microsoft'un şüpheli yazılımlar ve programlar hakkında raporları Microsoft'a gönderen bulut hizmeti SpyNet'teki yeni işlevler de potansiyel toplu dosya yazma davranışı üzerinde etkili oluyor.

Defender normalde bir makineyi tararken ve karantinaya alırken diske yazılabilecek dosya boyutlarına katı sınırlar koyar.

Araştırmacı, "Bu uygulama mantıklı, çünkü devasa bir dosyayı karantinaya almak Defender'ın mevcut disk alanını tamamen tüketmesine neden olacaktır" diye yazdı. "Ancak bu kurala küçük bir istisna buldum; görünüşe göre mpengine.dll'deki SpyNet fonksiyonları gerçekten de Zone.Identifier ADS dosyasının yerel bir kopyasını tutmak istiyor ve bu dosyanın boyutu ne olursa olsun, Windows Defender onu yerel olarak önbelleğe alıyor."

Zone.Identifier, Windows'un internetten indirilen veya e-posta gibi harici kaynaklardan alınan dosyalara otomatik olarak ilişkilendirdiği, alternatif veri akışı olarak da bilinen gizli bir meta veri dosyasıdır. Veri akışı, Windows'un dosyanın kaynağını ve alması gereken güvenlik bölgesini işaretlemesine olanak tanır.

NightmareEclipse, kötü niyetli bir aktörün bu davranışı, yerel bir Windows ağı üzerinden dosya paylaşımı için kullanılan bir iletişim protokolü olan Server Message Block (SMB) aracılığıyla tetikleyebileceğini belirtti. Araştırmacı konuyu şöyle açıkladı:

Microsoft ise yaptığı bir açıklamada, raporun farkında olduklarını ve konuyu araştırdıklarını bildirdi.

NightmareEclipse ve Microsoft arasındaki çekişme, araştırmacının Microsoft'un özel olarak bildirdiği bir güvenlik açığını sessizce kapattığını iddia ettiği Mayıs ayından bu yana devam ediyor. Sonraki haftalarda araştırmacı, Microsoft'un yamalama fırsatı bulamadan bir dizi güvenlik açığına ilişkin ayrıntıları ve istismar kodunu yayımladı. Microsoft ise buna karşılık olarak araştırmacıyı güvenlik açıklarını "sorumlu bir şekilde" ifşa etmemekle eleştirdi ve yasal işlem olasılığına üstü kapalı bir gönderme yaptı. Ancak kamuoyunun tepkisi üzerine Microsoft geri adım atarak böyle bir yasal işlemden kaçınacağını taahhüt etti.

Perşembe günkü iddialar, bu husumetin henüz çözülmediğini gösteriyor.

Posta, Microsoft'tan gelen yanıtı eklemek için 13 Temmuz 2026 tarihinde güncellenmiştir.

Önceki Haber
Samsung'un Mobil Birimi Tarihinde İlk Kez Zarar Açıklamaya Hazırlanıyor: Note 7 Krizini Bile Atlatmıştı
Sıradaki Haber
Cerrahların Yönettiği İnsansı Robotlar, Canlı Domuzlarda Dünya İlk Ameliyatını Gerçekleştirdi!

Benzer Haberler: