Google, Chrome tarayıcısı için iki güvenlik düzeltmesi içeren bir güncelleme yayınladı. Her ikisi de yüksek şiddette olarak sınıflandırılmıştır ve birinin vahşi doğada istismar edildiği bildirilmektedir. Bu kusurlar, Chrome’un (ve diğer Chromium tabanlı tarayıcıların) JavaScript çalıştıran bir parçası olan Chrome’un V8 motorunda bulundu.
Chrome, tahminen 3,4 milyar kişi tarafından kullanılan dünyanın en popüler tarayıcısıdır. Bu ölçek, Chrome’da bir güvenlik kusuru olduğunda, güncelleme yapılana kadar milyarlarca kullanıcının potansiyel olarak açığa çıkması anlamına geliyor.
Bu güvenlik açıkları ciddidir çünkü ziyaret ettiğiniz hemen hemen her web sitesini çalıştıran kodu etkilerler. Bir sayfayı her yüklediğinizde, fark etseniz de etmeseniz de, tarayıcınız her türlü kaynaktan gelen JavaScript’i çalıştırır. Saldırganlar, uygun güvenlik kontrolleri olmadan, bazen siz hiçbir şeye tıklamanıza gerek kalmadan, tarayıcınızın çalıştıracağı kötü amaçlı talimatları gizlice sızdırabilir. Bu, verilerin çalınmasına, kötü amaçlı yazılım bulaşmasına ve hatta tüm sistemin tehlikeye girmesine neden olabilir.
Bu yüzden bu yamaları hemen yüklemek önemlidir. Yamasız kalmak, yalnızca web’de gezinerek bir saldırıya açık olabileceğiniz anlamına gelir ve saldırganlar genellikle çoğu kullanıcı güncelleme şansı bulamadan bu tür kusurlardan yararlanır. Tarayıcınızın her zaman kendisini güncellemesine izin verin ve güvenlik yamalarını uygulamak için yeniden başlatmayı geciktirmeyin, çünkü güncellemeler genellikle tam olarak bu tür riskleri giderir.
Nasıl güncellenir
Chrome güncellemesi, sürüm numarasını Windows için 142.0.7444.175/.176, macOS için 142.0.7444.176 ve Linux için 142.0.7444.175’e getiriyor. Yani, Chrome’unuz sürüm numarasındaysa 142.0.7444.175 veya üzeri, bu güvenlik açıklarına karşı korunur.
Güncellemenin en kolay yolu Chrome’un otomatik olarak güncellenmesine izin vermektir, ancak tarayıcınızı hiç kapatmazsanız veya bir şeyler ters giderse (örneğin, bir uzantının tarayıcınızı güncellemenizi engellemesi gibi) geride kalabilirsiniz.
Manuel olarak güncellemek için “Daha” menüsünü (üç yığılmış nokta) seçin, ardından Ayarlar > Chrome hakkında. Bir güncelleme mevcutsa Chrome sizi bilgilendirecek ve indirmeye başlayacaktır. Ardından güncellemeyi tamamlamak için Chrome’u yeniden başlatın; bu güvenlik açıklarına karşı korunacaksınız.
Chrome’un her işletim sisteminde nasıl güncelleneceğine ilişkin makalemizde daha ayrıntılı güncelleme talimatlarını ve sürüm numarasını nasıl okuyacağınızı bulabilirsiniz.
Teknik detaylar
Her iki güvenlik açığı da V8’deki “tip karışıklığı” kusurları olarak nitelendiriliyor.
Kod, işlediği nesne türünü doğrulamadığında ve ardından onu yanlış kullandığında tür karışıklığı meydana gelir. Başka bir deyişle, yazılım bir veri türünü diğeriyle karıştırır; örneğin bir listeyi tek bir değer olarak veya bir sayıyı metin olarak ele alır. Bu, Chrome’un öngörülemeyen şekilde davranmasına neden olabilir ve bazı durumlarda saldırganların, kötü amaçlı veya güvenliği ihlal edilmiş bir web sitesinde özel hazırlanmış JavaScript aracılığıyla belleği manipüle etmesine ve uzaktan kod yürütmesine olanak tanıyabilir.
Aktif olarak yararlanılan güvenlik açığı (Google, “CVE-2025-13223’e yönelik bir istismarın yaygın olarak mevcut olduğunu” söylüyor) Google’ın Tehdit Analiz Grubu (TAG) tarafından keşfedildi. Uzaktaki bir saldırganın, kötü amaçlı bir HTML sayfası aracılığıyla yığın bozulmasından yararlanmasına olanak tanıyabilir. Bu, yalnızca “yanlış” web sitesini ziyaret etmenin tarayıcınızın güvenliğini tehlikeye atmak için yeterli olabileceği anlamına gelir.
Google, kusurdan kimin yararlandığına, gerçek dünyadaki saldırılarda bunu nasıl yaptığına veya kimin hedef alındığına ilişkin ayrıntıları henüz paylaşmadı. Ancak TAG ekibi genellikle sıfır günü casusluk amacıyla kötüye kullanan casus yazılımlara ve ulus devlet saldırganlarına odaklanıyor.
CVE-2025-13224 olarak takip edilen ikinci güvenlik açığı, Google’ın güvenlik açıklarını keşfetmeye yönelik yapay zeka odaklı bir projesi olan Big Sleep tarafından keşfedildi. Diğer güvenlik açığıyla aynı potansiyel etkiye sahiptir ancak siber suçlular muhtemelen bunu nasıl kullanacaklarını henüz çözememişlerdir.
Edge, Opera ve Brave gibi diğer Chromium tabanlı tarayıcıların kullanıcıları da yakın gelecekte benzer güncellemeler bekleyebilir.
Yalnızca tehditleri rapor etmiyoruz; onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.