« Tüm yayınlar

» Özet

13–19 Tem 2026

13–19 Tem 2026
canlı

Unisoc Yongalarda Milyonlarca Telefonu Etkileyen Sıfır Tık Zinciri; WordPress'te Kimlik Doğrulamasız SQL Enjeksiyonu Keşfedildi

Bu hafta güvenlik dünyası iki kritik açıkla sarsıldı. Araştırmacılar, Unisoc T606/T616 yonga setine sahip Motorola Moto G04s, G24, G34 ve E24 modellerini etkileyen, CVSS 9.8 puanlı “Operation Silent Rescue” saldırı zincirini belgeledi. Zincir, onarılamaz bir BootROM açığını (CVE-2022-38694) sahte LTE sinyalleriyle tetiklenebilen bir modem uzaktan kod yürütme hatasıyla (CVE-2025-31718) birleştirerek, kullanıcı etkileşimi olmadan tam cihaz erişimi sağlıyor. Eş zamanlı olarak, WordPress çekirdeğinde REST batch endpoint'indeki senkronizasyon hataları nedeniyle kimlik doğrulamasız SQL enjeksiyonuna (CVE-2026-63030, CVE-2026-60137) izin veren bir dizi açık ortaya çıkarıldı. Ayrıca, NAT Slipstreaming v2.0 tekniği ile tarayıcı üzerinden NAT ve güvenlik duvarlarının aşılabildiği gösterildi.

Yapay zeka cephesinde açık kaynak modeller için önemli bir dönüm noktası yaşandı. Mozilla'nın 2026 State of Open Source AI raporuna göre, açık ağırlıklı modeller OpenRouter üzerinden işlenen token'ların çoğunluğunu işliyor ve kapalı modellerle arasındaki yetenek farkı %8'den %3'e indi. GPT-4 sınıfı çıkarım maliyeti ise yaklaşık 50 kat düştü. Buna karşın, açık modeller benimsenmede önde olmasına rağmen (%79'a karşı %71) üretime geçişte geride kalıyor.

Mühendislik pratiğini doğrudan etkileyen iki teknik gelişme öne çıktı. İlki, WebAuthn PRF uzantısını kullanarak passkey'lerin hem kimlik doğrulama hem de veri şifreleme anahtarı olarak kullanılması. pknotes adlı uçtan uca şifreli notlar uygulaması, ana parola olmadan yalnızca passkey ile şifreleme yapılabileceğini kanıtladı. İkincisi, tek bir AI ajanına altı MCP sunucusu bağlandığında araç şemalarının bağlam penceresinin %41'ini tükettiği ve prompt önbellek isabet oranını %92'den %48'e düşürdüğü gerçeği — streamable HTTP'nin yerel stdio'ya göre %87 daha yavaş olduğu da ölçüldü.

Bun ekibi, 535 bin satırlık Zig kod tabanını Rust'a taşımak için Anthropic'in Claude modelini kullandı. 64 paralel ajanla iki günde tamamlanan yeniden yazım süreci, 600 satırlık bir taşıma rehberi ve çapraz doğrulayıcı inceleme turlarıyla yönetildi. Google'ın Gemma-4 modellerini AWS Inferentia2'ye taşıma girişimi ise vendor yığınının katmanlar arası KV paylaşımı ve gruplu sorgu dikkatindeki karışık kafa sayıları karşısında kırıldığını gösterdi; çözüm olarak NxD'nin alt seviye API'leriyle özel bir implementasyon geliştirildi.

200'den fazla çok kiracılı AI ve SaaS ürününde yapılan güvenlik taraması, 78 üründe 84 ayrı kiracılar arası veri sızıntısı tespit etti. Hata deseni neredeyse mekanikti: yazma uçlarında uygulanan yetkilendirme kontrolünün okuma uçlarında unutulması. AI ajanlarındaki sessiz veri kaybının dört farklı kök nedenini inceleyen bir diğer çalışma ise anahtar uyuşmazlığı, compaction sırasında veri düşmesi, eşzamanlı yazma yarışı ve bayat görüntüden yazma sorunlarının tek bir belirti altında nasıl gizlenebildiğini ortaya koydu.

» İstatistikler

Yayın
960
Okunma
3
Ort. puan
7.7

» En çok okunan

  1. LLM'ler kodun çoğunu yazarken derleyici işinin yönü değişiyor27.8
  2. Bun, Zig'den Rust'a: 64 Claude ajanıyla 2 günde tam yeniden yazım19.1
  3. Google Play Scraper'ı Modern Node İçin Sıfırdan Yeniden Yazdım07.9
  4. Rust ve ONNX ile CPU'da SigLIP 2 Metin Gömme Sunucusu07.3
  5. Dağıtık Sistemler için Senaryo Testleri07.0
  6. WordPress Çekirdeğinde Kimlik Doğrulamasız SQL Enjeksiyonu09.0
  7. Celly: CEL için Native C#/.NET Uygulaması, %100 Uyumluluk08.3
  8. Next.js'te Üç Açık Bellek Sızıntısı: Hangi Sorunu Yaşadığınızı Belirleyin07.9
  9. TP-Link Kasa kameraları 6 yıldır GPS konumunu kimliksiz UDP ile sızdırdı08.3
  10. C# ile Gerçek Zamanlı Ses Sentezi: Sigilgraph DAW'ın İçi08.3

» En yüksek puan

  1. Unisoc T606/T616 Yongalı Telefonlarda Zincirleme Sıfır Tık Açığı09.6
  2. Gemma-4 (2B/4B/12B) AWS Inferentia2'ye Nasıl Taşındı09.3
  3. Bun, Zig'den Rust'a: 64 Claude ajanıyla 2 günde tam yeniden yazım19.1
  4. Passkey ve WebAuthn PRF ile giriş ötesi: veri şifreleme09.1
  5. WordPress Çekirdeğinde Kimlik Doğrulamasız SQL Enjeksiyonu09.0
  6. Mozilla Raporu: Açık Kaynak AI Token'larda Önde, Üretimde Geride09.0
  7. AI ajanlarında sessiz veri kaybının dört nedeni09.0
  8. 200 self-hosted AI aracı incelendi: 78'inde kiracı izolasyonu kırık çıktı09.0
  9. Tek Ajanda 6 MCP Sunucusu: Gerçek Token Faturası Ne Çıktı09.0
  10. NAT Slipstreaming v2.0: Tarayıcı Üzerinden NAT/Güvenlik Duvarı Atlatma08.9

» Kaynaklar

Dev.to657Hacker News — Front Page61Hashnode #838Hashnode #930Hashnode #1522Artificial Intelligence Reddit16Hashnode #1015Hashnode #1314Frontend Development Reddit10Backend Development Reddit9Hashnode #188Hashnode #178Hashnode #167Hashnode #16Cyber Security Reddit6Database Reddit6Hashnode #125Programming Languages Reddit5Hashnode #35Hashnode #145Hashnode #55İşletim Sistemi Reddit4Hashnode #203Hashnode #112Pragmatic Engineer2Airbnb Tech Blog1Cloudflare Blog1Martin Fowler1The Rust Programming Language Blog1Github Engineering1Hashnode #21AWS Architecture Blog1Slack Engineering1ByteByteGo Newsletter1Netflix TechBlog1Sentry Blog1