Google, Chrome 134’ü Windows, MacOS ve Linux için kararlı kanala sunarak, uzaktan kod yürütmeyi veya çökmeleri sağlayabilecek yüksek şiddetli kusurlar da dahil olmak üzere 14 güvenlik açıklığını ele aldı.
Güncelleme, Linux için 134.0.6998.35, Windows için 134.0.6998.35/36 ve macOS için 134.0.6998.44/45, haftalarca test izler ve V8, pdfium ve ortam akışı gibi bileşenlerdeki güvenlik açıkları için kritik düzeltmeler içerir.
Harici araştırmacılar, yamaların dokuzuna katkıda bulundu ve hata ödüllerinde 7.000 dolara kadar kazanırken, Google’ın dahili ekipleri denetimler ve otomatik araçlar aracılığıyla beş ek sorunu çözdü.
Güvenlik Geliştirmeleri ve Harici İşbirlikleri
En şiddetli güvenlik açığı olan CVE-2025-1914, Araştırmacılar Zhenghang Xiao ve Nan Wang’ı Chrome’un V8 JavaScript motorunda okunan bir bitleri tanımlamak için 7.000 dolarlık bir ödül kazandı.
Bu güvenlik açığı sınıfı genellikle saldırganların güvenlik protokollerini atlamasına veya duyarlı bellek verilerini sızdırmasına izin verir.
Bir başka kritik düzeltme olan CVE-2025-1915, Devtools’ta Topi Lassila tarafından 4.000 dolarlık bir ödül için bildirilen yerel dosyaları açığa çıkarabilecek bir yol geçiş kusuru düzenledi.
Güney Kore’nin SSD laboratuvarları tarafından bildirilen profillerde (CVE-2025-1916) ve araştırmacı tarafından “Asnine” tarafından keşfedilen PDFIUM’da (CVE-2025-1918) okunan profillerde (CVE-2025-1916) kullanımdan arındırılmış bir kusur da dahil olmak üzere güncellemeye egemen oldu.
Özellikle, Khalil Zhani tarayıcı kullanıcı arayüzünde uygulama kusurlarını ve izin istemlerini bildirmek için toplam 3.000 $ ‘lık iki ödül aldı (CVE-2025-1917 ve CVE-2025-1923).
| CVE kimliği | Şiddet | Güvenlik Açığı Açıklaması |
| CVE-2025-1914 | Yüksek | V8’de okunan sınırlar |
| CVE-2025-1915 | Orta | Devtools’ta yol geçiş |
| CVE-2025-1916 | Orta | Profillerde kullanılmayan kullanım |
| CVE-2025-1917 | Orta | Tarayıcı UI Uygulama Koşusu |
| CVE-2025-1918 | Orta | Pdfium’da okunan sınırsız |
| CVE-2025-1919 | Orta | Medyada okunan sınırlar |
| CVE-2025-1921 | Orta | Medya akışı uygulaması kusuru |
| CVE-2025-1922 | Düşük | Seçim uygulaması kusuru |
| CVE-2025-1923 | Düşük | İzin Uygulama Koşulunu İster |
İç korumalar ve devam eden çabalar
Google’ın dahili güvenlik ekipleri, AdresSanitizer ve kontrol akışı bütünlüğü gibi araçlarla beş ek güvenlik açıkına değindi.
Bu çabalar, ağ yığınları ve DOM kullanımı gibi sertleşmeye odaklanmıştır, ancak spesifik CVE tanımlayıcıları sömürü önlemek için açıklanmamıştır.
Şirket, sürekli bulantı ve kum havuzu iyileştirmeleri yoluyla “sıfır gün önleme” konusundaki taahhüdünü vurguladı.
Güncelleme önümüzdeki haftalarda aşamalı olarak dağıtılacak. Kullanıcılar, Google Chrome hakkında Chrome> Yardım> aracılığıyla bir güncellemeyi manuel olarak tetikleyebilir.
Genişletilmiş kararlı kanaldaki işletmeler 134.0.6998.36 (Windows) ve 134.0.6998.45 (MACOS) sürümleri alacaktır.
Google, çoğu kullanıcı yamaları yükleyene kadar ayrıntılı hata raporlarına erişimi geçici olarak kısıtladı. Araştırmacılar, Güvenlik Açığı Ödül Programı aracılığıyla cazibe ile Chrome’un Bug Tracker aracılığıyla yeni sorunları bildirmeleri isteniyor.
Tarayıcıları hedefleyen istismar zincirleri daha sofistike büyüdükçe, zamanında güncellemeler kritiktir. Chrome 134, açık kaynaklı işbirliği ile sahne arkası sertleşmesi arasındaki dengenin altını çiziyor-sektörde giderek daha fazla benimsenen bir model.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free