Google Chrome, etkilenen sistemlerde potansiyel olarak keyfi kod yürütülmesini sağlayabilecek altı güvenlik açığını ele alan kritik bir güvenlik güncellemesi yayınladı.
Windows ve Mac için 139.0.7258.127/.128 ve Linux için 139.0.7258.127 sürümüne kararlı kanal güncellemesi, kullanıcı verileri ve sistem bütünlüğü için önemli riskler oluşturan çoklu yüksek şiddetli güvenlik kusurları için yamalar içerir.
Key Takeaways
1. Chrome fixes six vulnerabilities, including three that enable code execution.
2. Affects V8 engine and graphics - allows malicious code execution.
3. Update Chrome now via Settings > About Chrome.
Adresinde bulunan yüksek şiddetli güvenlik açıkları
Güvenlik güncellemesi, keyfi kod yürütülmesine yol açabilecek üç yüksek şiddetli güvenlik açığını hedefler.
CVE-2025-8879, Libaom kütüphanesinde video kodlama ve kod çözme işlemlerini işleyen bir yığın tampon taşma güvenlik açığını temsil eder.
Bu tür bir güvenlik açığı, saldırganların tahsis edilen bellek sınırlarının ötesine veri yazmasına ve potansiyel olarak kritik sistem bilgilerinin üzerine yazmalarını sağlar.
CVE-2025-8880, Güvenlik Araştırmacısı Seunghyun Lee tarafından bildirilen Google’ın V8 JavaScript motorunda bir yarış koşulunu ele alıyor.
Yarış koşulları, birden fazla süreç paylaşılan kaynaklara aynı anda erişmeye çalıştığında meydana gelir ve saldırganların kullanabileceği öngörülemeyen davranışlar yaratır.
Üçüncü yüksek şiddetli kusur olan CVE-2025-8901, OpenGL ES API çağrılarını donanım destekli API’lara çeviren açıda (neredeyse doğal grafik katman motoru) sınır dışı bir yazma güvenlik açığı içerir.
Chrome’un güvenlik ekibi, bellek yolsuzluk hatalarını tespit etmek için adressanitizer, inatçı olmayan bellek okumaları için belleksanitizer ve C/C ++ kodunda tanımsız davranışları yakalamak için tanımsız işiticier dahil olmak üzere bu güvenlik açıklarını tanımlamak için birden fazla gelişmiş algılama metodolojisi kullanıldı.
Güncelleme ayrıca, Libfuzzer ve AFL (Amerikan bulanık LOP) test çerçevelerinden kontrol akışı bütünlüğü mekanizmalarını ve bulgularını da içeriyor.
Orta ciddiyet güvenlik açıkları adreslendi
Dosya seçici bileşeninde uygunsuz uygulamayı ele alan CVE-2025-8881 ve Aura pencereleme sisteminde kullanılmayan bir güvenlik açığı olan CVE-2025-8882 dahil CVE-2025-8881 de dahil olmak üzere ek orta yüzlük güvenlik açıkları da ek orta-şiddetli güvenlik açıkları.
Programlar serbest bırakıldıktan sonra belleği kullanmaya devam ettiklerinde, potansiyel kod yürütme fırsatlarına yol açtığında kullanılmayan güvenlik açıkları meydana gelir.
| CVE kimliği | Başlık | Şiddet |
| CVE-2025-8879 | Libaom’da Yığın Tampon Taşması | Yüksek |
| CVE-2025-8880 | V8’de yarış | Yüksek |
| CVE-2025-8901 | Sınır dışı açıda yaz | Yüksek |
| CVE-2025-8881 | Dosya seçicide uygunsuz uygulama | Orta |
| CVE-2025-8882 | Aura’da ücretsiz kullanın | Orta |
Hafifletme
Çekirdek tarayıcı bileşenlerindeki yığın arabelleği taşması ve yarış koşulları, tarayıcı ayrıcalıklarıyla kötü amaçlı kod yürütmek için kullanılabilir.
Otomatik sunum önümüzdeki günler ve haftalarda gerçekleşecek, ancak kullanıcılar Chrome’u Chrome hakkında ayarlar aracılığıyla manuel olarak güncellemelidir.
Sistem yöneticileri, özellikle tarayıcıların hassas verileri işlediği kurumsal ortamlarda bu güncelleme dağıtımına öncelik vermelidir.
Chrome ekibinin anonim katkıda bulunanlar ve Google’ın büyük uyku projesi de dahil olmak üzere harici güvenlik araştırmacıları ile işbirliği, istikrarlı serbest bırakma kanallarına ulaşmadan önce güvenlik açıklarını belirleme ve iyileştirme çabalarını gösteriyor.
Boost your SOC and help your team protect your business with free top-notch threat intelligence: Request TI Lookup Premium Trial.