Google, krom tarayıcının ciddi sonuçları olabilecek aktif olarak sömürülen bir güvenlik açığını düzeltmesi için acil bir güncelleme yayınladı.
Güncelleme, kararlı kanalı Windows ve Mac için 136.0.7103.113/.114 ve Linux için 136.0.7103.113 sürümlerine getiriyor.
Chrome’u güncellemenin en kolay yolu, otomatik olarak güncellenmesine izin vermektir, ancak tarayıcınızı asla kapatmazsanız veya bir şeyler ters giderse – tarayıcıyı güncellemenizi engelleyen bir uzatma gibi geride kalabilirsiniz.
Güncellemeyi manuel olarak almak için tıklayın Ayarlar> Chrome Hakkında. Mevcut bir güncelleme varsa, Chrome sizi bilgilendirecek ve indirmeye başlayacaktır. O zaman tek yapmanız gereken, güncellemenin tamamlanması ve bu güvenlik açıklarından güvende olmanız için tarayıcıyı yeniden başlatmaktır.
Bu güncelleme, bir saldırganın diğer web siteleriyle paylaştığınız bilgileri çalmasına izin verebilecek aktif olarak sömürülen bir güvenlik açığını ele aldığı için çok önemlidir. Google, CVE-2025-4664 bilgisinin vahşi doğada var olduğunun farkında olduğunu söylüyor. Ancak Google, kırılganlığın aslında aktif olarak sömürüldüğünü kabul etmese de, siber güvenlik ve altyapı güvenlik ajansı (CISA), bilinen sömürülen güvenlik açıkları kataloğuna güvenlik açığını ekledi – orada güvenlik açığının kullanıldığına dair güçlü bir gösterge.
Teknik detaylar
CVE-2025-4664 olarak izlenen güvenlik açığı, kaynak isteklerini işleyen krom yükleyici bileşeninde yer alır. Bir web sitesini ziyaret ettiğinizde, tarayıcınızın genellikle çeşitli kaynaklardan gelebilecek resimler, komut dosyaları veya stil sayfaları gibi ek parçaları yüklemesi gerekir. Yükleyici, bu kaynakları doğru bir şekilde getirme ve görüntüleme taleplerini yönetir.
Bunu yapsa da, bir web sitesinin başka bir web sitesine ait verilere erişmesini engelleyen güvenlik politikalarını uygulamalıdır, bu da “aynı orijin politikası” olarak bilinen bir ilke.
Güvenlik açığı, bu güvenlik politikalarının bağlantı başlıklarına uygun şekilde uygulanmamasıdır. Bu, bir saldırganın bağlantı başlığında Chrome’a hassas sorgu parametreleri de dahil olmak üzere tam URL’leri eklemesini söyleyen bir yönlendirici politiği ayarlamasına izin verdi.
Tam URL’lerdeki sorgu parametreleri genellikle OAuth jetonları (kimlik doğrulama için kullanılır), oturum tanımlayıcıları ve diğer özel veriler gibi hassas bilgiler içerdiğinden bu istenmeyendir.
Hassas veya finansal bilgilerle ilgili bir web sitesini ziyaret ettiğinizi düşünün ve URL, adres çubuğunda gerçekten siz olduğunu kanıtlayan bir gizli kod içeriyor. Normalde, tarayıcınız farklı web sitelerinden görüntüleri veya diğer içerikleri yüklediğinde, bu gizli kodu özel tutar. Ancak bu krom yükleyici kusuru nedeniyle, başarılı bir saldırgan tarayıcınızı sadece bir görüntü veya başka bir kaynağı yerleştirerek bu gizli kodu kötü amaçlı bir web sitesine göndermek için kandırabilir.
Saldırgan, örneğin, kendi sunucularına barındırılan gizli bir görüntü yerleştirebilir ve tam URL’leri hasat edebilir. Bu, özel bilgilerinizi fark etmeden çalabilecekleri, potansiyel olarak hesabınızı veya diğer çevrimiçi hizmetleri devralmalarına izin verebilecekleri anlamına gelir.
Sadece tehditler hakkında rapor vermiyoruz, tüm dijital kimliğinizi korumaya yardımcı oluyoruz
Siber güvenlik riskleri asla bir başlığın ötesine yayılmamalıdır. Kimlik korumasını kullanarak kişisel bilgilerinizi ve ailenizin kişisel bilgilerini koruyun.