Bu içerik, ilgili yazılım ve bilgiler kontrol edilerek güncel sürüm ve kullanım durumuna göre revize edilmiştir.
Yazar: Bünyamin KAYA
- Windows 11 ISO indir seçenekleri için güncel 25H2, 26H1 ve 24H2 sürümleri resmi olarak yayınlandı.
- Mayıs 2026 güvenlik güncellemeleri toplam 120 güvenlik açığını kapatırken aktif olarak kullanılan zero-day açığı içermiyor.
- Microsoft, Secure Boot sertifikalarının 26 Haziran 2026 sonrası için güncellenmesini kritik hale getiren yeni altyapıyı kullanıma sundu.
- YellowKey ve MiniPlasma adlı yeni exploitler, BitLocker ve SYSTEM yetkileri tarafında ek güvenlik riskleri oluşturuyor.
- Yeni ISO dosyaları temiz kurulum ve mevcut sistemi verileri koruyarak yükseltme işlemleri için kullanılabiliyor.
Windows 11 26H1, 25H2 ve 24H2 sürümleri için Mayıs 2026 güvenlik güncellemelerini içeren yeni orijinal ISO images (ISO imajları) kullanıma sunuldu. Bu imajlar, temiz kurulum yapmak veya mevcut sistemi verileri koruyarak yükseltmek isteyen kullanıcılar için hazırlanmıştır.
Microsoft’un May 2026 Patch Tuesday (Mayıs 2026 Salı Yaması) güncellemesi, hacminden çok dikkat çeken bir ayrıntıyla öne çıkıyor. Windows ve ilgili bileşenlerde toplam 120 güvenlik açığı kapatılırken, bu ay aktif olarak istismar edilen ya da kamuya açık şekilde duyurulmuş herhangi bir zero-day vulnerability (sıfır gün güvenlik açığı) bulunmuyor.
Bu durum, Haziran 2024’ten bu yana ilk kez aylık güvenlik güncellemesinde aktif istismar edilen veya kamuya açık sıfır gün açığı yer almaması anlamına geliyor.
Bilgi: Mayıs 2026 güncellemesinde zero-day vulnerability bulunmaması olumlu bir gelişme olsa da bu, sistemlerin risksiz olduğu anlamına gelmez. Kritik açıkların önemli bir bölümü uzaktan kod çalıştırmaya izin verebilir.
Yine de bu tablo tamamen rahatlatıcı değil. Kapatılan açıkların 17 tanesi kritik olarak sınıflandırıldı ve bunların 14’ü Remote Code Execution (Uzaktan Kod Çalıştırma) riski taşıyor. Özellikle aşağıdaki üç alan güvenlik açısından öne çıkıyor:
Mayıs 2026 Güncellemesinde Öne Çıkan Kritik Açıklar
Kimlik Doğrulama Gerektirmeyen Ağ Bileşenleri
CVE-2026-41096, Windows DNS Client bileşenini etkiliyor. Kötü amaçlı bir DNS sunucusu, istemci tarafında bellek bozulmasına yol açabilecek özel bir yanıt gönderebilir.
CVE-2026-41089 ise Windows Netlogon bileşeninde yer alan bir stack buffer overflow (yığın arabellek taşması) açığıdır. Bu açık, kullanıcı etkileşimi gerektirmeden özel hazırlanmış bir ağ isteğiyle domain controller (etki alanı denetleyicisi) üzerinde istismar edilebilir.
Office Belgeleri ve Preview Pane Riski
Microsoft Office, Word ve Excel tarafında kapatılan bazı açıklar, kötü amaçlı bir dosya açıldığında tetiklenebiliyor. Daha kritik nokta ise bazı senaryolarda bu açıkların Preview Pane (Önizleme Bölmesi) üzerinden, belge açıkça çalıştırılmadan da devreye girebilmesi.
Bu durum, özellikle yoğun şekilde e-posta eki alan iş istasyonları için saldırı eşiğini ciddi biçimde düşürebilir.
Grafik Alt Sistemleri
CVE-2026-35421, Windows GDI bileşeninde yer alıyor ve Microsoft Paint içinde açılan özel hazırlanmış bir EMF file (EMF dosyası) üzerinden istismar edilebiliyor.
CVE-2026-40403 ise Win32k-GRFX tarafında heap overflow (yığın taşması) riski taşıyor. Bu açık, izole bir ortamdan kod kaçışına neden olabilir. Remote Desktop (Uzak Masaüstü) senaryosunda kötü amaçlı bir sunucu, bağlanan istemci tarafında kod çalıştırabilir.
Bunlara ek olarak CVE-2026-42898, Microsoft Dynamics 365’in yerel kurulumlarını etkiliyor. CVSS 9.9 puanına sahip bu açık, kullanıcı etkileşimi gerektirmeden istismar edilebilmesi nedeniyle özellikle kurumsal ortamlar için önem taşıyor.
CVE-2026-40365 ise SharePoint Server tarafında dikkat edilmesi gereken bir diğer güvenlik açığıdır. Her iki açık da genellikle iş verileriyle entegre çalışan kurumsal sistemleri hedef alıyor.
Uyarı: Zero-day açığı bulunmaması, tehdit seviyesinin düştüğü anlamına gelmez. DNS Client, Netlogon ve Office açıkları, yama yayınlandıktan kısa süre sonra reverse engineering (tersine mühendislik) ile analiz edilip çalışan exploitlere dönüştürülebilir.
Mayıs Yamasından Sonra Ortaya Çıkan Yeni Exploitler
Güncellemelerin yayınlanmasından sonraki ilk hafta içinde Chaotic Eclipse araştırmacıları, Mayıs ayı tehdit tablosunu genişleten iki çalışan PoC exploit (Kavram Kanıtı İstismar Kodu) yayımladı. Bu iki açık, Mayıs 2026 Patch Tuesday güncellemesiyle kapatılmış değil.
YellowKey: BitLocker’ın WinRE Üzerinden Aşılması
YellowKey, Windows 11 ve Windows Server 2022/2025 sistemlerini etkileyen bir BitLocker bypass (BitLocker atlatma) yöntemidir.
Saldırgan, fiziksel erişim elde ettiğinde USB bellek veya EFI bölümü üzerine özel hazırlanmış bir NTFS volume (NTFS birimi) yerleştiriyor. Ardından sistemi Windows Recovery Environment / WinRE (Windows Kurtarma Ortamı) içinde başlatıyor ve Ctrl tuşunu basılı tutarak shell erişimi elde ediyor.
Bu shell üzerinden sistem birimi, şifresi çözülmüş içerikle birlikte bağlanabiliyor. Yöntem özellikle yalnızca TPM ile korunan BitLocker yapılandırmalarında çalışıyor. TPM+PIN veya boot password (önyükleme parolası) kullanılan yapılandırmalar ise bu yönteme karşı daha dayanıklı.
Uyarı: YellowKey için yayın anı itibarıyla atanmış bir CVE bulunmuyor ve resmi bir güvenlik yaması mevcut değil. BitLocker kullanan sistemlerde TPM+PIN yapılandırması pratik bir koruma katmanı sağlar.
MiniPlasma: cldflt.sys Üzerinden SYSTEM Yetkisi
MiniPlasma, Windows 11’in güncel sürümlerinde ve Insider Preview Canary yapılarında çalışan bir privilege escalation (yetki yükseltme) exploitidir.
Açık, Cloud Filter driver (Bulut Filtre Sürücüsü) olarak bilinen cldflt.sys içinde yer alan HsmOsBlockPlaceholderAccess işleviyle ilişkilidir. Bu güvenlik sorunu, Google Project Zero raporunun ardından 2020 yılında CVE-2020-17103 kimliğiyle kapatılmıştı.
Ancak Chaotic Eclipse tarafından yapılan analiz, önceki yamanın eksik kaldığını gösterdi. CfAbortHydration API çağrısı kullanılarak .DEFAULT registry hive (kayıt defteri kovanı) üzerinde symbolic link (sembolik bağlantı) oluşturulabiliyor ve bu yolla rastgele bir uygulama SYSTEM bağlamında çalıştırılabiliyor.
Bu iki örnek, 2026’nın ilk yarısında Microsoft Defender bypass (Microsoft Defender atlatma) ve privilege escalation için kullanılan BlueHammer, RedSun ve UnDefend exploitleriyle aynı çizgide değerlendirilebilir.
Yayın anı itibarıyla YellowKey ve MiniPlasma için resmi güvenlik güncellemesi bulunmuyor. BitLocker tarafında uygulanabilecek en pratik önlem, yalnızca TPM yerine TPM+PIN senaryosuna geçmektir.
Secure Boot Sertifikaları İçin Kritik Tarih: 26 Haziran 2026
2011 yılında kullanılan orijinal Secure Boot (Güvenli Önyükleme) sertifikalarının süresi 26 Haziran 2026 tarihinde doluyor. Bu tarihten sonra güncellenmemiş sistemler, Windows 11’in güncel bileşenlerini güvenilir şekilde önyükleme yeteneğini kaybedebilir.
Mayıs ve Haziran 2026 güncelleme döngüleri, yeni 2023 Secure Boot certificates (2023 Secure Boot sertifikaları) için düzenli dağıtım yapılabilecek son önemli dönemler olarak öne çıkıyor.
KB5089549 güncellemesiyle Microsoft, sistem yöneticileri için ek altyapı da sundu. C:\Windows\SecureBoot\ExampleRolloutScripts dizinine, grup ilkeleri üzerinden sertifika geçişini aşamalı şekilde yönetmeye yarayan yedi PowerShell script (PowerShell betiği) eklendi.
Bu betikler arasında Detect-SecureBootCertUpdateStatus.ps1 ile durum tespiti, Start-SecureBootRolloutOrchestrator.ps1 ile dağıtım orkestrasyonu ve Get-SecureBootRolloutStatus.ps1 ile cihaz filosu genelinde ilerleme takibi yapılabiliyor.
Bilgi: Kurumsal ortamlarda Secure Boot sertifika geçişi ertelenmemelidir. Özellikle çok sayıda cihaz yöneten sistem yöneticileri, Mayıs ve Haziran 2026 güncellemelerini dağıtım planına dahil etmelidir.
Windows Güvenlik Güncellemeleri Neden Kurulmalı?
Bilinen Açıklar İlk Hedef Haline Gelir
Bilinen güvenlik açıkları, saldırganların en hızlı hedef aldığı alanlardan biridir. Ransomware (fidye yazılımı), RDP ve SMB istismarı ya da Office ekleriyle yapılan phishing (oltalama) saldırılarının önemli bölümü, yaması zaten yayınlanmış açıklardan yararlanır.
Güncel bir güvenlik yaması sistemi tamamen dokunulmaz yapmaz; ancak sistemi en kolay hedefler listesinden çıkarır.
Exploit Penceresi Daralır
Microsoft’un güvenlik bülteni yayımlaması ile kritik açıklar için çalışan PoC exploit ortaya çıkması arasında çoğu zaman yalnızca birkaç gün veya birkaç hafta bulunur.
Sistem, ayın ikinci salısından sonra ne kadar uzun süre güncellenmeden kalırsa, hazır exploitlerle karşılaşma ihtimali o kadar artar.
Güncellemeler Sadece Güvenlik İçin Değildir
Cumulative updates (toplu güncellemeler), yalnızca CVE düzeltmelerinden ibaret değildir. Ağ yığını, sürücüler, yazdırma alt sistemleri ve Hyper-V gibi bileşenlerdeki işlevsel hatalar da bu paketlerle giderilir.
KB5089549, Windows 11 için CVE düzeltmelerinin yanında, önceki güncellemelerden sonra beklenmedik şekilde BitLocker recovery key (BitLocker kurtarma anahtarı) istenmesine yol açan bazı durumları da gideriyor. Ayrıca Secure Boot sertifikalarının dağıtımı için gerekli altyapıyı ekliyor.
Denetim ve Siber Sigorta Gereksinimleri
Kurumsal yapılarda güncel yamaların eksikliği, denetim süreçlerinde bulguya, siber sigorta tarafında sorunlara ve olası güvenlik olaylarında daha yüksek sorumluluğa neden olabilir.
Temel bilgi güvenliği politikaları, kritik güncellemelerin yayınlandıktan sonra belirli bir süre içinde kurulmasını şart koşar.
Secure Boot Sertifikaları
Son Windows güncellemeleri, 2023 yılına ait yeni Secure Boot certificates paketlerini de içeriyor. Bu sertifikalar olmadan, 26 Haziran 2026 sonrasında güncel Windows bileşenlerinin güvenilir şekilde başlatılması mümkün olmayabilir.
Windows 11 Resmi ISO İmajları: Mayıs 2026
Windows 11’i temiz kurulumla yüklemek veya mevcut sistemi in-place upgrade (yerinde yükseltme) yöntemiyle güncellemek isteyen kullanıcılar, ISO dosyalarını Microsoft’un resmi kaynaklarından indirebilir.
Ancak standart ISO dosyaları kullanıldığında, kurulum sonrasında en güncel cumulative updates paketlerinin ayrıca yüklenmesi gerekebilir. Bu nedenle Mayıs 2026 güvenlik güncellemelerini içeren orijinal Microsoft MSDN ISO images ayrıca kullanıma sunulmuştur.
| İşletim Sistemi | Build | Version | Channel | Update | ISO Images | Yayın Tarihi |
|---|---|---|---|---|---|---|
| Windows 11 | 28000.2113 | 26H1 | Stable | KB5089548 | ISO (UUP)* | 2026-05-12 |
| Windows 11 | 26200.8457 | 25H2 | Stable | KB5089549 | ISO (UUP)* | 2026-05-12 |
| Windows 11 | 26100.8457 | 24H2 | Stable | KB5089549 | ISO (UUP)* | 2026-05-12 |
| Windows 11 | 22631.7079 | 23H2 | Stable | KB5087420 | ISO (UUP)* | 2026-05-12 |
| Windows 10 | 19045.7291 | 22H2 | Stable | KB5087544 | ISO (UUP)* | 2026-05-12 |
Not: Windows 11 version 23H2 ve Windows 10 version 22H2 için Home ve Pro sürümlerinin desteği sona ermiştir. Bu nedenle Microsoft artık bu sürümler için resmi ISO imajları yayımlamamaktadır. İlgili imajlar, Microsoft sunucularındaki UUP dosyaları kullanılarak UUP Dump servisi üzerinden hazırlanmıştır.
İndirme hızını optimize etmek için ISO images, torrent files (torrent dosyaları) şeklinde de sunulabilir. Bu dosyalar qBittorrent veya Transmission gibi uygulamalarla indirilebilir.
Bilgi: Windows 11 version 25H2, OS Build 26200.8457 için resmi ISO imajları Media Creation Tool üzerinden de edinilebilir.
Windows 11 için ayrıca, sistem gereksinimlerini aşmaya ve verileri koruyarak yükseltme yapmaya yönelik hybrid ISO images (hibrit ISO imajları) da kullanılabilir. Cihazınız Windows 11’in en güncel sürümüyle uyumlu değilse, desteklenmeyen bilgisayarlarda Windows 11 version 25H2’ye yükseltme adımlarını izlemek gerekebilir.
İndirilen ISO image kullanılarak bootable USB drive (önyüklenebilir USB bellek) oluşturulabilir. Bunun için Rufus veya Ventoy gibi araçlardan yararlanılabilir.
Ayrıca Mayıs 2026 güncellemelerini içeren resmi Windows Server 2025 ve Windows Server 2022 ISO imajları da indirilebilir.
