Windows 11 Pwn2Own 2026 Etkinliğinde Hacklendi – Veri Sızıntısı
Live
Sorgula
Kurumsal
Hakkımızda Kurucunun Notu Basın & Medya Gizlilik Politikası Kullanım Koşulları SSS Basın Kiti
Ürünler
HUBOne HUBCorp Yakında Veri Sızıntısı Android Yakında Veri Sızıntısı iOS Yakında Veri Sızıntısı Huawei Yakında Breach Radar Argus Flow Argus Engine LivePlatform
Teknolojiler
Argus AI Nedir? HUBOne'da Dene Argus Flow Nedir? Argus Engine Nedir?
Blog İletişim

Windows 11 ve Edge Pwn2Own Berlin 2026'da Hacklendi

Pwn2Own Berlin 2026 siber güvenlik yarışmasının ilk gününde, güvenlik araştırmacıları Windows 11 ve Microsoft Edge'de 24 adet sıfırıncı gün zafiyeti bularak 523.000 dolar ödül kazandı. Bu keşifler, Microsoft'un gelecekteki güncellemelerle kullanıcıları korumasına yardımcı olacak.

Pwn2Own Berlin 2026'da güvenlik araştırmacıları, Windows 11 ve Microsoft Edge'de 24 sıfırıncı gün açığı bularak 523.000$ kazandı. Detaylar haberimizde.

Olay Özeti

Her yıl düzenlenen ve dünyanın en prestijli siber güvenlik etkinliklerinden biri olarak kabul edilen Pwn2Own yarışması, 2026 yılında Berlin'de teknoloji devlerini bir kez daha zorlu bir testten geçirdi. Etkinliğin ilk gününde, dünyanın dört bir yanından gelen etik hackerlar ve güvenlik araştırmacıları, en popüler yazılımlardaki bilinmeyen güvenlik açıklarını bulmak için kıyasıya bir mücadeleye girdi. Günün sonunda en çok dikkat çeken hedefler ise Microsoft'un amiral gemisi işletim sistemi Windows 11 ve yaygın olarak kullanılan web tarayıcısı Microsoft Edge oldu. Araştırmacılar, bu iki yazılım üzerinde toplam 24 adet benzersiz ve daha önce hiç bilinmeyen güvenlik açığı (zero-day) tespit etmeyi başardılar. Bu başarılı sızma denemeleri, onlara toplamda 523.000 dolarlık para ödülü kazandırdı.

Pwn2Own, kötü niyetli bir saldırı simülasyonu değildir. Tam aksine, "sorumlu ifşa" (responsible disclosure) ilkesiyle çalışan, yapıcı bir etkinliktir. Araştırmacılar, buldukları zafiyetleri halka açık bir şekilde sergilemeden önce, ilgili yazılım şirketine (bu durumda Microsoft) detaylı bir raporla sunarlar. Bu sayede şirketler, siber suçlular bu açıkları keşfetmeden önce gerekli yamaları ve güncellemeleri geliştirme fırsatı bulur. Dolayısıyla, Pwn2Own Berlin 2026'da yaşananlar, bir felaket haberi olmaktan çok, milyonlarca kullanıcının gelecekteki potansiyel siber saldırılara karşı daha güvenli hale gelmesini sağlayan önemli bir adımdır.

Sızdırılan Veriler ve Kapsam

Bu olay, klasik bir veri sızıntısından farklı bir yapıya sahiptir. Burada sızdırılan, kullanıcıların kişisel bilgileri, parolaları veya finansal verileri değildir. Sızdırılan asıl şey, yazılımın kendisindeki kritik zafiyet bilgileridir. Etkinliğin doğası gereği, araştırmacılar sistemlere sızdıklarında herhangi bir kullanıcı verisini çalmaz veya kopyalamazlar. Amaçları, sadece sistemin kontrolünü ele geçirebildiklerini kanıtlamaktır. Bu nedenle, son kullanıcıların bu etkinlik nedeniyle verilerinin çalındığına dair endişe duymasına gerek yoktur.

E-postanız sızdırıldı mı? Ücretsiz sorgulayın, saniyeler içinde öğrenin.

Hemen Sorgula →

Ancak olayın kapsamı oldukça geniştir. Tespit edilen 24 sıfırıncı gün zafiyeti, Windows 11 işletim sistemini ve Microsoft Edge tarayıcısını kullanan dünya genelindeki yüz milyonlarca cihazın potansiyel olarak risk altında olduğunu göstermiştir. Eğer bu zafiyetler Pwn2Own gibi kontrollü bir ortamda değil de, siber suçlular tarafından keşfedilseydi, sonuçları çok ağır olabilirdi. Fidye yazılımları, casus yazılımlar veya geniş çaplı veri hırsızlıkları için bir kapı aralanabilirdi. Bu açıdan bakıldığında, etkinlik sayesinde önleyici bir güvenlik adımı atılmış ve geniş çaplı bir felaketin önüne geçilmiştir.

Saldırının Teknik Boyutu

Pwn2Own'da sergilenen saldırılar, yüksek düzeyde teknik beceri ve yaratıcılık gerektirir. Araştırmacıların kullandığı bazı temel teknik terimleri ve anlamlarını şu şekilde açıklayabiliriz:

  • Sıfırıncı Gün Zafiyeti (Zero-Day): Bu terim, yazılım geliştiricisinin henüz haberdar olmadığı ve dolayısıyla bir yamasının bulunmadığı güvenlik açıklarını ifade eder. Saldırganlar bu açıkları keşfettiğinde, şirketlerin savunma yapmak için "sıfır günü" kalmıştır. Pwn2Own'da bulunan 24 zafiyetin tamamı bu kategoridedir.
  • Uzaktan Kod Çalıştırma (Remote Code Execution - RCE): Bu, bir saldırganın hedef sistemde, kullanıcının haberi veya izni olmadan kendi istediği kodları çalıştırabilmesi anlamına gelir. Genellikle bir web sitesini ziyaret etmek veya kötü amaçlı bir dosyayı açmak gibi basit bir eylemle tetiklenebilir. RCE, saldırganlara sistem üzerinde tam kontrol sağlama potansiyeli veren en tehlikeli zafiyet türlerinden biridir.
  • Yetki Yükseltme (Privilege Escalation): Saldırganlar bir sisteme ilk sızdıklarında genellikle standart bir kullanıcı yetkisine sahip olurlar. Yetki yükseltme saldırısı, bu sınırlı erişimi, sistem yöneticisi (administrator) gibi en üst düzey yetkilere çıkarmak için kullanılır. Bu başarıldığında, saldırgan sistemdeki her dosyaya erişebilir, ayarları değiştirebilir ve diğer kullanıcıları etkileyebilir.
  • Sandbox Kaçışı (Sandbox Escape): Modern web tarayıcıları ve uygulamalar, potansiyel olarak tehlikeli kodları "sandbox" adı verilen yalıtılmış bir ortamda çalıştırır. Bu, kodun ana işletim sistemine zarar vermesini engeller. Sandbox kaçışı, bu yalıtılmış ortamın dışına çıkıp ana sisteme erişim sağlamayı başaran sofistike bir saldırı türüdür.

Pwn2Own Berlin 2026'daki araştırmacılar, bu teknikleri birleştirerek karmaşık saldırı zincirleri oluşturmuş ve hem Windows 11'in çekirdek bileşenlerini hem de Microsoft Edge'in güvenlik mekanizmalarını aşmayı başarmışlardır.

Etkilenen Kullanıcılar Kimler

Teorik olarak, Windows 11 işletim sistemini veya Microsoft Edge web tarayıcısını kullanan tüm bireysel ve kurumsal kullanıcılar bu güvenlik açıklarından etkilenebilirdi. Bu, ev kullanıcılarından küçük işletmelere, büyük şirketlerden devlet kurumlarına kadar çok geniş bir yelpazeyi kapsamaktadır. Ancak, bu zafiyetlerin sorumlu bir şekilde Microsoft'a bildirilmesi sayesinde, pratik anlamda doğrudan etkilenen veya zarar gören bir kullanıcı kitlesi bulunmamaktadır. Asıl önemli olan, bu zafiyetlerin artık kamuoyunca (ve daha da önemlisi Microsoft tarafından) biliniyor olmasıdır. Bu durum, Microsoft'u en kısa sürede bir güvenlik güncellemesi yayınlamaya teşvik eder.

Ne Yapmalısınız

Bu olay, son kullanıcılar için bir panik nedeni olmasa da, siber güvenlik farkındalığının ne kadar önemli olduğunu bir kez daha hatırlatmaktadır. İşte atmanız gereken adımlar:

  1. Güncellemeleri Açık Tutun: En kritik adım budur. Windows Update özelliğinizin otomatik olarak çalışacak şekilde ayarlandığından emin olun. Microsoft, bu zafiyetler için yamaları yayınladığında, sisteminiz bu güncellemeleri otomatik olarak indirip kuracaktır.
  2. Güvenilir Güvenlik Yazılımı Kullanın: Kaliteli bir antivirüs veya internet güvenliği programı, bilinen tehditlere karşı ek bir koruma katmanı sağlar.
  3. Dikkatli Olun: Şüpheli e-postalardaki linklere tıklamaktan veya bilinmeyen kaynaklardan dosya indirmekten kaçının. Sıfırıncı gün zafiyetleri genellikle bu tür sosyal mühendislik taktikleriyle birleştirilerek kullanılır.
  4. Geçmiş Sızıntıları Kontrol Edin: Bu olay yeni zafiyetleri ortaya çıkarırken, bilgilerinizin geçmişte sızdırılıp sızdırılmadığını bilmek de önemlidir. Bir Veri Sızıntısı Sorgulama aracı kullanarak e-posta adresinizin veya diğer kişisel bilgilerinizin daha önceki sızıntılarda yer alıp almadığını kontrol edebilirsiniz.
  5. Bilgilenin: Siber güvenlik dünyasındaki gelişmeleri takip etmek, sizi gelecekteki tehditlere karşı daha hazırlıklı kılar. Güvenilir kaynaklardan düzenli olarak Veri Sızıntısı Haberleri okumak iyi bir alışkanlıktır.

Şirketin Açıklaması

Microsoft, Pwn2Own gibi etkinliklere her zaman olumlu yaklaşan ve güvenlik araştırmacılarıyla yakın iş birliği içinde olan bir şirkettir. Etkinliğin ardından Microsoft'tan beklenen standart açıklama, araştırmacılara bulguları için teşekkür etmek ve tespit edilen tüm zafiyetleri doğrulamak için çalıştıklarını belirtmektir. Şirket, genellikle bir sonraki Salı Yaması (Patch Tuesday) döngüsünde veya kritik durumlarda daha erken bir acil durum güncellemesi (out-of-band update) ile bu açıkları kapatacak yamaları yayınlayacağını duyurur. Microsoft'un bu proaktif yaklaşımı, ekosistemlerini daha güvenli hale getirme konusundaki kararlılıklarını göstermektedir ve Pwn2Own etkinliğinin temel amacına hizmet etmektedir.

Kaynak

https://www.bleepingcomputer.com/news/security/windows-11-and-microsoft-edge-hacked-on-first-day-of-pwn2own-berlin-2026/

Bu Yazıyı Paylaş
X LinkedIn WhatsApp
← Önceki Yazı Canvas Sahibi Instructure Fidye Yazılımı Sonrası Anlaştı Sonraki Yazı → Atrium ve Interim HealthCare Veri İhlalleri Milyonları Etkiledi

Haftalık Bülten

Her hafta seçilmiş veri ihlali haberleri doğrudan gelen kutunuza gelsin.