Google, Chrome Web tarayıcısının saldırganların hassas bilgilere erişmesine veya sistemin çökmesine neden olabilecek üç yüksek şiddetli güvenlik açığını ele almak için acil bir güvenlik güncellemesi yayınladı.
Şirket, kullanıcılara bu kusurlarla ilişkili potansiyel riskleri azaltmak için tarayıcılarını derhal güncellemelerini tavsiye ediyor.
En son yama, krom kararlı kanalı Windows ve Mac için 140.0.7339.207/.208 ve Linux için 140.0.7339.207 sürümüne getiriyor. Güncelleme önümüzdeki günler ve haftalar boyunca otomatik olarak dağıtılacaktır, ancak kullanıcılar gecikmeden korunduklarından emin olmak için güncellemeyi manuel olarak tetikleyebilir.
Keşfedilen üç yüksek aralıklı güvenlik açıklarının hepsi, program kodunu yürütmekten sorumlu olan kromun temel bir bileşeni olan V8 JavaScript ve Webassembly motorunda bulunuyor.
CVE-2025-10890 olarak izlenen ilk kusur, yan kanallı bilgi sızıntısı güvenlik açığıdır. Bu tür bir zayıflık potansiyel olarak, bir kullanıcıyı tarayıcının hafızasından hassas verileri okumak için kötü amaçlı bir web sitesini ziyaret etmeye ikna eden uzak bir saldırganın, bilgileri izole etmek için tasarlanmış güvenlik önlemlerini atlayarak izin verebilir. Dış güvenlik araştırmacısı arkadaşı Marjanović bu kırılganlığı bildirdi.
Diğer iki güvenlik açık, CVE-2025-10891 ve CVE-2025-10892, her ikisi de V8 motorunda tamsayı taşmaları olarak tanımlanır.
Bunlar Google’ın büyük uyku araştırma ekibi tarafından dahili olarak keşfedildi. Bir tamsayı taşması, kendisine tahsis edilen bellek alanı için çok büyük olduğunda, “etrafa sarılmasına” ve beklenmedik davranışlarla sonuçlanan sayısal bir değer olduğunda ortaya çıkan yaygın bir yazılım hatasıdır.
Bir tarayıcı bağlamında, saldırganlar, oluşturucu işlemini çökerterek veya etkilenen sistemde keyfi kod yürüterek hizmet reddi koşuluna neden olmak için bu tür kusurları kullanabilirler.
Saldırganlar güvenlik açıklarından yararlanabilir
Bu güvenlik açıklarının başarılı bir şekilde kullanılması, genellikle bir saldırganın kurbanı özel olarak hazırlanmış, kötü niyetli bir web sayfasını ziyaret etmeye cezbetmesini gerektirecektir.
CVE-2025-10890 için, sayfadaki kötü amaçlı kod yan kanal kusurunu tetikleyerek saldırganın kullanıcının makinesinde çalışan diğer web sitelerinden veya işlemlerden veri çıkarmasına izin verebilir.
İki tamsayı taşma kusuru, eğer istismarsa, ani tarayıcı çökmelerine yol açabilir. Google’ın danışmanlığı bunu onaylamasa da, tamsayı taşmaları bazen tehlikeye atılan bir sistem üzerinde tam kontrol kazanmak için diğer istismarlarla zincirlenebilir ve bu da onları ciddi bir tehdit haline getirir.
Standart güvenlik politikası doğrultusunda Google, şu anda bu hatalar için teknik ayrıntılara ve kavram kanıtı istismarlarına erişimi kısıtlamaktadır.
Bu önlem, kullanıcıların çoğuna güvenlik yamasını yüklemek için yeterli zaman vererek yaygın saldırıları önlemeyi amaçlamaktadır. Güncelleme geniş ölçüde dağıtıldıktan sonra kısıtlamalar kaldırılacaktır.
Google, tüm Chrome kullanıcılarının, potansiyel sömürüye karşı savunmak için tarayıcılarının en son sürüme güncellenmesini sağlamasını şiddetle tavsiye eder.
Güncellemeyi kontrol etmek ve yüklemek için kullanıcılar Chrome menüsüne gidebilir, “Yardım” ı seçebilir ve ardından “Google Chrome Hakkında” ı tıklayabilir. Tarayıcı en son sürümü otomatik olarak tarar ve kullanıcıyı kurulumu tamamlamak için yeniden başlatmasını ister.
Google ayrıca, bu güvenlik açıklarının tanımlanmasına ve raporlanmasına katkıda bulunan güvenlik araştırmacılarına da şükranlarını genişleterek tarayıcı güvenliğini korumak için gereken işbirlikçi çabayı vurguladı.
Şirket, güvenlik hatalarının birçoğunun, adresSanitizer, MemorySanitizer ve çeşitli bulanık kütüphaneler gibi gelişmiş test araçları kullanılarak tespit edildiğini ve kusurları istikrarlı kanala ulaşmadan önce tanımlamaya ve düzeltmeye yardımcı olduğunu belirtti.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
