.webp?w=696&resize=696,0&ssl=1 "Chrome Güvenlik Güncellemesi")
Google, Chrome tarayıcısı için kritik bir güvenlik güncellemesi yayınladı ve keyfi kod yürütme ve kum havuzu kaçışlarını sağlayabilecek birden fazla yüksek şiddetli güvenlik açıkına değindi.
Windows ve Mac için 134.0.6998.88/.89 ve 10 Mart 2025’te piyasaya sürülen Linux için 134.0.6998.88 kararlı kanal güncellemesi, üçü yüksek riskli olarak derecelendirilen beş güvenlik kusurları için yamalar içerir.
Eşzamanlı olarak, öncelikle aşamalı testler için işletmeler tarafından kullanılan genişletilmiş kararlı kanal, önümüzdeki haftalarda planlanan kademeli bir sunum ile Windows ve Mac için 134.0.6998.89’a güncellendi.
Bu güncelleme, Chrome’un V8 JavaScript motoru ve GPU bileşenleri üzerinde, her ikisi de sömürü için ana hedefler olarak kalan bir artış incelemesi modelini takip ediyor.
Yüksek şiddetli güvenlik açıkları yamalı
En kritik düzeltmeler CVE-2025-1920 ve CVE-2025-2135’i, V8 JavaScript motorundaki iki tür karışıklık güvenlik açıkını hedefler.
CWE-843 altında sınıflandırılan tip karışıklık kusurları, kod bir kaynağı tek bir tür olarak başlattığında, ancak daha sonra uyumsuz bir tür olarak eriştiğinde gerçekleşir ve bellek yolsuzluğuna yol açar.
Chrome’un durumunda, bu, saldırganların keyfi kod yürütmesine veya kötü amaçlı bir HTML sayfası aracılığıyla tarayıcının güvenlik sanal alanından kaçmasına izin verebilir.
Excello SRO tarafından bildirilen CVE-2025-1920, 7.000 dolarlık bir ödül kazanırken, Zhenghang Xiao (@kipreyyy) tarafından tanımlanan CVE-2025-2135, V8’in mimarisinde devam eden risklerin altını çiziyor.
Üçüncü yüksek şiddetli bir kusur olan CVE-TBD, Chrome’un GPU bileşeninde sınır dışı bir yazma içerir.
Bu tür güvenlik açıkları, saldırganların tahsis edilen bellek sınırlarının ötesine, potansiyel olarak çökme sistemlerini veya uzaktan kod yürütülmesini sağlayan veri yazmasını sağlar.
GPU ile ilgili istismarlar, özellikle karmaşıklıkları ve kontrat sonrası kötü niyetli aktiviteyi tespit etmenin zorluğu nedeniyle ilgilidir.
Orta-Şiddet Düzeltmeleri
Güncellemede ayrıca, müfettiş bileşeninde kullanılmayan bir güvenlik açığı olan CVE-2025-2136 ve V8’de okunan bir sınırsız olan CVE-2025-2137’yi ele alıyor.
Bir program referans verildiğinde, genellikle kazalara veya kod yürütülmesine yol açarken, sınırsız okumalar hassas verileri ortaya çıkarabilir.
Sakana.s (3000 $ Bounty) ve Zeroxiaobai@ (2000 $ Bounty) tarafından bildirilen bu orta şiddetli sorunlar, Chrome’un alt sistemlerindeki kalıcı bellek yönetimi zorluklarını vurgulamaktadır.
Sömürü riskleri ve azaltma
Google, bu güvenlik açıklarının aktif olarak kullanıldığını doğrulamamış olsa da, yamalı kusurların şiddeti derhal harekete geçmeyi gerektirir.
Saldırganlar, bu sorunları, kötü niyetli bir siteyi ziyaret etmek, sömürü tetiklediği sürüşle uzlaşmalarla silahlandırabilir.
Örneğin, CVE-2025-1920’den yararlanan hazırlanmış bir HTML sayfası, yığın belleğini bozabilir ve kötü amaçlı yazılım veya verileri yüklemek için Chrome’un sanal alan korumalarını atlayabilir.
Chrome otomatik olarak güncellemelerine rağmen, kullanıcıların en son yamaları etkinleştirmek için tarayıcıyı manuel olarak yeniden başlatması gerekir – genellikle göz ardı edilen bir adım.
Korumayı sağlamak için, anında güncelleme kontrolünü tetiklemek için Chrome hakkında Chrome ayarlarına> gidin. Gecikmeli yama riskleri göz önüne alındığında, filo dağıtımlarını yöneten işletmeler sunum önceliklendirilmelidir.
Bu güncelleme, 2025’te Dördüncü Büyük Chrome Güvenlik sürümünü işaret ederek V8 ve GPU gibi tarayıcı bileşenlerine yönelik artan tehditleri yansıtır.
Tip karışıklık kusurlarının tekrarlanan görünümü, Chrome’un JavaScript motorunun saldırganlar için yüksek değerli bir hedef olarak kaldığını ve Google’ın güvenlik ekipleri tarafından sürekli incelemeyi gerektirdiğini göstermektedir.
Kullanıcılara ve yöneticilere Chrome’u gecikmeden 134.0.6998.88 veya daha sonraki sürümlere güncellemeleri tavsiye edilir.
Tarayıcı tabanlı saldırılar sofistike olarak arttıkça, titiz yama disiplininin korunması gelişen tehditlere karşı en etkili savunma olmaya devam ediyor.
Collect Threat Intelligence on the Latest Malware and Phishing Attacks with ANY.RUN TI Lookup -> Try for free