Google, Chrome tarayıcısı için CVE-2025-11756 olarak takip edilen yüksek önem dereceli bir güvenlik açığını gideren acil bir güvenlik güncellemesi yayınladı. Chrome’un Güvenli Tarama özelliğini etkileyen bu kusur, saldırganların kullanıcıların makinelerinde rastgele kod çalıştırmasına olanak tanıyarak kullanıcı gizliliğine ve sistem güvenliğine doğrudan tehdit oluşturabilir.
CVE-2025-11756 Güvenlik Açığının Ayrıntıları
Güvenlik açığı, bir uygulama serbest bırakıldıktan sonra kullanım kusurudur ve bir uygulama yayınlandıktan sonra belleği kullanmaya devam ettiğinde ortaya çıkan bir sorundur. Bu tür bellek bozulması, saldırganların kötü amaçlı kod yerleştirme ve yürütme potansiyeli de dahil olmak üzere öngörülemeyen davranışlara yol açabilir.
CVE-2025-11756 durumunda sorun Chrome’un Güvenli Tarama bileşeninde bulundu. Güvenli Tarama, kullanıcıları kötü amaçlı web sitelerinden ve zararlı indirmelerden korumak için tasarlanmıştır. Bu özellik yükseltilmiş ayrıcalıklarla çalıştığı için içindeki herhangi bir kusur özellikle kritik öneme sahiptir.
Google’ın dahili güvenlik sınıflandırmasına göre bu güvenlik açığı Yüksek önem derecesi olarak değerlendirildi. Başarılı bir şekilde kullanılırsa, siber suçluların bir kullanıcının sistemine yetkisiz erişim sağlamasına, kötü amaçlı yazılım yüklemesine, verilere sızmasına veya kullanıcı hesaplarını tehlikeye atmasına olanak tanıyabilir.
Keşif ve Hata Ödül Ödülü
Güvenlik açığı, 25 Eylül 2025’te “asnine” tanıtıcısı olarak bilinen bir güvenlik araştırmacısı tarafından keşfedildi ve sorumlu bir şekilde açıklandı. Araştırmacı, çabaları karşılığında, bağımsız güvenlik araştırmacılarını güvenlik kusurlarını bildirmeye teşvik eden Google’ın hata ödül programı aracılığıyla 7.000 ABD doları ödül aldı.
Google, katkıyı kamuya açık bir şekilde kabul etti ve şunu belirtti: “Güvenlik hatalarının kararlı kanala ulaşmasını önlemek için geliştirme döngüsü sırasında bizimle birlikte çalışan tüm güvenlik araştırmacılarına da teşekkür etmek istiyoruz.”
Güvenlik Güncelleştirmesi Sunumu
Bu güvenlik açığına yanıt olarak Google, Windows ve Mac için Chrome 141.0.7390.107/.108 sürümü ve Linux için 141.0.7390.107 sürümü aracılığıyla bir güvenlik yaması yayınladı. Güncelleme 14 Ekim 2025’te kullanıma sunulmaya başlandı ve önümüzdeki gün ve haftalarda dünya çapındaki kullanıcılara ulaşmaya devam edecek.
Google’ın Chrome ekibinin resmi yayın açıklaması şöyle:
“Stable kanalı Windows ve Mac için 141.0.7390.107/.108 ve Linux için 141.0.7390.107 olarak güncellendi ve önümüzdeki günlerde/haftalarda kullanıma sunulacak. Bu yapıdaki değişikliklerin tam listesi Günlükte mevcuttur.”
Riski en aza indirmek için Google, kullanıcıların çoğunluğu güncellemeyi yükleyene kadar güvenlik açığının teknik ayrıntılarına erişimi kısıtlıyor. Bu strateji, standart ifşa politikalarıyla uyumludur ve yama penceresi sırasında kötü niyetli aktörlerin aktif istismarını önlemeyi amaçlamaktadır.
Ayrıca, sorun diğer projeler tarafından kullanılan paylaşılan üçüncü taraf kitaplıklarda da mevcutsa, bu projeler de düzeltmeleri dağıtana kadar açıklama sınırlı kalabilir.
Güvenlik Araçları ve Tespit Tedbirleri
CVE-2025-11756 gibi güvenlik açıklarını tespit etmek ve azaltmak için Google, ağırlıklı olarak AdresSanitizer, MemorySanitizer, UnDefinitionBehaviorSanitizer, Control Flow Integrity, libFuzzer ve AFL gibi gelişmiş güvenlik araçlarına güvenir. Bu araçlar, geliştirme ve test aşamalarında potansiyel kusurların belirlenmesine yardımcı olur.
Gerçek şu kiGüvenlik açığının Güvenli Tarama özelliğini etkilemesi başka bir endişe katmanı daha ekliyor çünkü bu bileşen Chrome’un koruma mekanizmalarının merkezinde yer alıyor. Kullanıcıların savunmasız kalmamalarını sağlamak için tarayıcılarını derhal güncellemeleri şiddetle tavsiye edilir.
Şu anda bu güvenlik açığının yaygın olarak kullanıldığına dair kamuya açık bir rapor bulunmamakla birlikte, güncellemedeki gecikmeler, özellikle de kusurla ilgili ayrıntılar daha yaygın olarak bilinmeye başladıktan sonra sistemleri saldırılara açık bırakabilir.