Google, saldırganların etkilenen sistemlerde rastgele kod yürütmesine olanak verebilecek çok sayıda kritik güvenlik açığını gideren Chrome’un Windows ve Mac için 141.0.7390.65/.66 sürümünü ve Linux için 141.0.7390.65 sürümünü yayımladı.
7 Ekim 2025’te duyurulan güncelleme, dünya çapındaki kullanıcılar için ciddi riskler oluşturan üç önemli güvenlik düzeltmesini içeriyor.
Yığın Arabellek Taşması ve Bellek Bozulması Kusurları
Bu sürümdeki en ciddi güvenlik açığı, Chrome’un Sync bileşeninde Yüksek önem derecesi atanmış bir yığın arabellek taşması olan CVE-2025-11458’dir.
5 Eylül 2025’te KunLun laboratuvarında güvenlik araştırmacısı Raven tarafından keşfedilen bu kusur, Google’ın Güvenlik Açığı Ödül Programından 5.000 ABD doları tutarında ödül kazandı.
Yığın arabellek taşmaları, bir program tahsis edilen bellek arabellek sınırlarının ötesine veri yazdığında meydana gelir ve potansiyel olarak saldırganların bitişik bellek bölgelerini bozmasına ve rasgele kod yürütmesine olanak tanır.
İkinci kritik güvenlik açığı olan CVE-2025-11460, Chrome’un Depolama bileşenindeki Ücretsiz Kullanım Sonrası durumunu temsil ediyor.
Araştırmacı Sombra tarafından 23 Eylül 2025’te bildirilen bu Yüksek önem dereceli kusur, tarayıcının daha önce serbest bırakılmış belleğe erişmeye çalışmasıyla ortaya çıkıyor ve saldırganlara bellek tahsisini değiştirme ve kod yürütme olanağı sağlıyor.
Serbest kullanım sonrası güvenlik açıkları, başarılı bir şekilde kullanıldığında sistemin tamamen tehlikeye girmesine yol açabileceğinden özellikle tehlikelidir.
Ayrıca CVE-2025-11211, 29 Ağustos 2025’te Jakob Košir tarafından bildirilen WebCodecs’teki sınır dışı okuma güvenlik açığını giderir.
3.000 ABD Doları ödül kazandıran bu Orta önemdeki kusur, saldırganların tahsis edilen sınırların dışında bellek okumasına olanak tanıyarak, potansiyel olarak hassas bilgilerin açığa çıkmasına veya daha fazla istismar zincirinin oluşmasına olanak tanıyor.
| CVE | Başlık | Şiddet |
| CVE-2025-11458 | Senkronizasyonda yığın arabellek taşması | Yüksek |
| CVE-2025-11460 | Depolamada ücretsiz olarak kullan | Yüksek |
| CVE-2025-11211 | WebCodecs’te okuma sınırlarının dışında | Orta |
Azaltmalar
Google’ın güvenlik ekibi, bu güvenlik açıklarını belirlemek için AdresSanitizer, MemorySanitizer, UnDefinitionBehaviorSanitizer, Control Flow Integrity, libFuzzer ve AFL fuzzing teknikleri dahil olmak üzere çok sayıda gelişmiş tespit metodolojisi kullandı.
Bu otomatik güvenlik testi araçları, Chrome’un kod tabanını, üretim ortamlarına ulaşmadan önce bellek bozulması sorunları, yarış koşulları ve diğer güvenlik açısından kritik hatalar açısından sürekli olarak analiz eder.
Chrome geliştirme ekibi, tarayıcının mimarisine, oluşturma süreçlerini izole eden ve başarılı açıklardan yararlanmaların potansiyel etkisini sınırlayan korumalı alan mekanizmaları da dahil olmak üzere kapsamlı risk azaltma önlemleri uyguladı.
Ancak, kullanıcıların çoğunluğu bu kritik kusurların yaygın şekilde kullanılmasını önlemek için tarayıcılarını güncelleyene kadar Google, ayrıntılı güvenlik açığı bilgilerine erişimi kısıtladığından, kullanıcıların güvenlik güncellemesini derhal yüklemeleri gerekir.
Cyber Awareness Month Offer: Upskill With 100+ Premium Cybersecurity Courses From EHA's Diamond Membership: Join Today
