Google, Windows ve Mac için 141.0.7390.65/.66 ve Linux için 141.0.7390.65 sürümünü sundu.
Bu güncelleme, bir saldırganın tarayıcı bağlamında keyfi kod yürütmek için kullanabileceği bellek işleme hatalarını içeren üç kritik güvenlik kusurunu giderir.
Harici araştırmacılar bu sorunları keşfettiler ve Google’ın güvenlik açığı açıklama programı aracılığıyla bildirdiler. Ödüller, ciddiyet ve karmaşıklığa göre 3.000 ila 5.000 dolar arasında değişiyordu.
Kusurların detayları
İlk yüksek şiddetli kusur olan CVE-2025-11458, Chrome Sync’de bir yığın tampon taşmasıdır.
Bir saldırgan, bir bellek arabelleğini taşıyan kötü niyetli senkronizasyon verileri oluşturabilir ve potansiyel olarak tarayıcı işlediğinde keyfi kodun yürütülmesine izin verir.
Bu sorun 5 Eylül 2025’te Kunlun Lab’da “Raven” tarafından bildirildi ve 5.000 dolar ödül kazandı.
CVE | Darbe | Tarafından bildirilen |
CVE-2025-11458 | Yüksek | Kunlun laboratuarında kuzgun |
CVE-2025-11460 | Yüksek | Sombra |
CVE-2025-11211 | Orta | Jakob Košir |
İkinci yüksek şiddetli kusur olan CVE-2025-11460, depolama bileşeninde bundan sonra kullanılmayan bir kullanım içerir. Özel olarak tasarlanmış bir komut dosyası veya web sayfası, zaten serbest bırakılmış olan depolama nesnelerine erişerek hatayı tetikleyebilir ve bu da bellek bozulmasına yol açabilir.
Bu güvenlik açığı 23 Eylül 2025’te araştırmacı Sombra tarafından açıklandı. Google, bu bulgu için halkın ödül miktarını henüz belirlemedi. Orta şiddetli kusur, CVE-2025-11211, WebCodecs’de okunan bir sınırsızdır.
Medya kod çözme API’sına hatalı biçimlendirilmiş girdi sağlayarak, bir saldırgan tahsis edilen hafızanın ötesinde okuyabilir, potansiyel olarak verileri bozabilir veya daha fazla sömürü için aşamayı ayarlayabilir. Jakob Košir bu sorunu 29 Ağustos 2025’te bildirdi ve 3.000 dolarlık bir ödül aldı.
Her üç güvenlik açığı da ortak bir ön koşul paylaşır: Bir kullanıcı, temel bellek hatasını tetikleyen özel hazırlanmış web içeriğini ziyaret etmeli veya etkileşim kurmalıdır.
Ek ayrıcalıklara gerek yoktur, bu da bu kusurları özellikle indirme saldırılarında veya kötü amaçlı reklamlarda kullanılırsa özellikle tehlikeli hale getirir.
Kullanıcılar, bu kusurların yamalı olduğundan emin olmak için Chrome 141.0.7390.65/.66’ya güncellemelidir. Otomatik güncellemeler varsayılan olarak etkinleştirilir, ancak kullanıcılar tarayıcı ayarlarındaki “Google Chrome Hakkında” bölümüne giderek doğrulayabilir.
Grup politikaları veya yönetim konsolları aracılığıyla kromu yöneten işletmeler, güncellemeyi gecikmeden tüm uç noktalarda dağıtmalıdır.
Web geliştiricileri ve yöneticileri, güvenilmeyen komut dosyalarının yürütülmesini sınırlamak ve kullanıcı tarafından sağlanan herhangi bir veriye dezenfekla rutinleri uygulamak için katı İçerik Güvenliği Politikası (CSP) başlıklarını kullanmak da dahil olmak üzere içerik güvenliği için en iyi uygulamaları izlemeye devam etmelidir.
Güvenlik ekipleri ayrıca, geliştirme döngülerinde daha önce benzer sorunları yakalamak için AdresSanitizer ve Kontrol Akışı bütünlüğü gibi çalışma zamanı bellek güvenlik araçlarını dağıtmayı düşünebilir.
Google, güvenlik ortaklarına algılama ve önleme konusunda yardımcı oldukları için kredilendirir. Bunlar arasında AdresSanitizer, MemorySanitizer, DefinedBehaviorsanitizer, Kontrol Akışı Bütünlüğü, Libfuzzer ve AFL bulunur.
Araştırmacılar ve satıcılar arasında devam eden işbirliği, tarayıcıları ve web uygulamalarını güvende tutmak için çok önemlidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.