Microsoft, Windows 11 işletim sisteminde tespit edilen kritik bir UEFI Secure Boot (Güvenli Önyükleme) güvenlik açığını, yaklaşık yedi aylık bir gecikmeyle kapattı. CVE-2024-7344 koduyla tanımlanan bu açık, kötü niyetli yazılımların sistemin en kritik seviyelerinde çalıştırılmasına olanak tanıyordu ve kullanıcıları ciddi risklerle karşı karşıya bırakıyordu.
Yedi ay geciken çözüm
Bu güvenlik zafiyeti, ilk olarak Temmuz 2024‘te ESET güvenlik firması tarafından raporlandı. Ancak Microsoft, gerekli güvenlik yamalarını ancak 14 Ocak 2025 tarihinde yayınladı. Bu süre zarfında kötü niyetli aktörler, açık sayesinde cihazlara zararlı kod yerleştirip Windows 11’in dahili güvenlik önlemlerini atlatma fırsatı bulabiliyordu.
Sorunun kaynağı, üçüncü taraf donanım yazılımlarının UEFI Güvenli Önyükleme süreçlerini yanlış yönetmesinden kaynaklandı. Özellikle reloader.efi adlı bir bileşenin yedi farklı üretici tarafından güvensiz bir şekilde kullanıldığı ortaya çıktı. Bu üreticiler arasında Howyar Technologies, Greenware, Radix, Sanfong, WASAY, CES ve SignalComputerbulunuyor.
Microsoft ve üreticilerin önlemleri
Microsoft, bu açığı kullanabilecek saldırganların önünü kesmek amacıyla etkilenen yazılımların dijital sertifikalarını iptal etti. Ayrıca, ilgili üreticiler de kendi sistem araçları için güvenlik güncellemeleri yayımladı. Ancak, bu kadar kritik bir açığın çözümünün aylarca gecikmesi, Microsoft’un güvenlik süreçlerine dair soru işaretlerini yeniden gündeme getirdi.
Güncelleme önerisi
Uzmanlar, kullanıcıların bu ve bundan sonraki güvenlik açıklarından etkilenmemek için 14 Ocak 2025 tarihinde yayımlanan güncellemeyi ve sonrasındaki yamaları vakit kaybetmeden yüklemelerini öneriyor. Donanım tabanlı bu tür saldırılar, tespit edilmesi en zor tehditler arasında yer alıyor ve sistem güvenliğinin sağlanması için düzenli güncellemelerin büyük önem taşıdığı bir kez daha vurgulanıyor.
Microsoft’un gecikmeli müdahalesi, güvenlik açıkları karşısında proaktif bir yaklaşımın ne kadar kritik olduğunu gözler önüne seriyor.
 güvenlik açığını nihayet yamadı.){kind=link}