Google, krom tarayıcısı için acil bir güvenlik güncellemesi yayınladı ve saldırganların keyfi kod yürütmesini ve etkilenen sistemlerin kontrolünü ele geçirmesini sağlayabilecek iki kritik yığın tamponu taşma kusuru da dahil olmak üzere üç güvenlik açığını yamaladı.
GÜNCELLEME (Windows/Mac için 133.0.6943.126/.127 ve 133.0.6943.126 ve Linux için 133.0.6943.126), Chrome’un V8 JavaScript motoru, GPU bileşeni ve ağ yığını, dünya çapında milyarlarca artan riskleri vurgulayan istismarların keşfini izler.
CVE-2025-0999: V8 JavaScript Motorunda Yığın Tampon Taşması
4 Şubat 2025’te araştırmacı Seunghyun Lee (@0x10N) tarafından bildirilen Chrome’un V8 motorundaki bu yüksek şiddetli kusur, saldırganların kötü niyetli JavaScript yürütme yoluyla yığın belleğini bozmasına izin veriyor.
Güvenlik açığı, uygunsuz onaylanmış giriş V8’in bellek önlemlerini atladığında, saldırganların bitişik bellek bölgelerinin üzerine yazmasını sağladığında ortaya çıkar.
Başarılı sömürü, Chrome’un sanal alan korumalarını atlayarak hazırlanmış web içeriği aracılığıyla uzaktan kod yürütülmesine (RCE) yol açabilir. Google, bu keşif için kritikliğini yansıtan 11.000 dolarlık bir ödül verdi.
JavaScript’i derlemek ve yürütmekten sorumlu V8 motoru, tarayıcı performansındaki merkezi rolü nedeniyle istismarlar için sık bir hedeftir.
Bu kusurdan yararlanan saldırılar sessizce kötü amaçlı yazılım yükleyebilir, hassas verileri çalabilir veya kullanıcı oturumlarını kaçırabilir.
CVE-2025-1426: GPU Alt Sisteminde Yığın Tampon Taşma
Aralık 2024’te araştırmacılar “un3xploable” ve “GF” tarafından keşfedilen bu yüksek riskli güvenlik açığı, Chrome’un GPU hızlanma çerçevesinde bulunuyor.
Grafik oluşturma işlemleri sırasında uygun olmayan sınırlar kontrolleri, saldırganların bellek tamponlarını taşmasına izin vererek yığın yolsuzluğa yol açar.
Bu kusurdan yararlanmak, saldırganların Chrome’un kum havuzundan kaçmasını ve sistem düzeyinde ayrıcalıklarla yerel kod yürütmesini sağlayabilir.
GPU ile ilgili güvenlik açıkları, özellikle modern tarayıcılar, WebGL ve tuval gibi donanımlara uygun süreçlere sunma görevlerini giderek daha fazla boşaltma ile ilgilidir.
Google, sömürünün silahlanma potansiyelini gösteren daha geniş bir yama benimsemesini bekleyen teknik ayrıntıları (TBD) sakladı.
CVE-2025-1006: Ağ yığınında bundan sonra kullanımsız kullanım
Palo Alto Networks ‘Tal Keren ve Team tarafından 18 Ocak 2025’te bildirilen bu orta yüzlü kullanımdan sonra, Chrome’un ağ bileşeni veri iletim döngüleri sırasında bellek işaretçilerini yönetemediğinde ortaya çıkar.
Saldırganlar, tarayıcıyı çökertmek veya manipüle edilmiş ağ paketleri aracılığıyla keyfi kod yürütmek için sarkan işaretçilerden yararlanabilir.
Saldırı karmaşıklığı nedeniyle daha düşük derecelendirilmesine rağmen, kusur Chrome’un ağ alt sistemlerinde kalıcı bellek yönetimi zorluklarını vurgular.
Google, çoğu kullanıcı, istismarların tersine çevrilmesini önlemek için standart bir uygulama olan güncellemeyi yükleyene kadar teknik ayrıntılara halkın erişimini kısıtlamıştır.
Şirket, harici araştırmacılarla işbirliğini vurgulayarak “Bu düzeltmeler, küresel güvenlik topluluğumuzun kullanıcılara ulaşmadan önce riskleri belirleme değerinin altını çiziyor” dedi.
Chromium ekibi, bu geliştirme döngüsü sırasında bir düzineden fazla araştırmacıdan katkıları da kabul etti.
Kullanıcıların Chrome’u Chrome hakkında ayarlar aracılığıyla derhal güncellemeleri veya otomatik güncellemeleri etkinleştirmeleri istenir.
İşletmeler, tampon taşma istismarları hedeflenen saldırılarda sıklıkla silahlandırıldığından, yamayı yönetilen cihazlara dağıtmaya öncelik vermelidir.
Güvenlik analistleri ayrıca beklenmedik komut dosyası enjeksiyonları veya GPU proses anomalileri için ağ trafiğini izlemenizi önerir.
Hiçbir aktif sömürü doğrulanmamış olsa da, bu kusurları birleştirmek güçlü bir tehdit oluşturmaktadır.
Tarayıcı karmaşıklığı arttıkça, saldırı yüzeyi de artmaktadır – kişisel ve örgütsel güvenlik için riskleri azaltmada gerekli olan zamanında güncellenir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free