Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Google Chrome’da aktif olarak sömürülen sıfır gün kırılganlığı konusunda acil bir güvenlik uyarısı yayınladı.
CVE-2025-10585 olarak adlandırılan güvenlik açığı, Google Chromium içindeki V8 JavaScript ve Webassembly motorunu etkiler ve dünya çapında kullanıcılar için önemli güvenlik riskleri oluşturur.
Kritik tip karışıklık kusuru keşfedildi
Yeni tanımlanan güvenlik açığı, Chrome’un V8 motorunda tarayıcıda JavaScript kodunu yürütmekten sorumlu bir tür karışıklık kusurunu temsil eder.
Yazılım, veri türlerini yanlış işlediğinde, potansiyel olarak saldırganların belleği manipüle etmesine ve kötü amaçlı kod yürütmesine izin verdiğinde, karışıklık güvenlik açıkları oluşur.
Bu özel zayıflık, ortak zayıflık numaralandırma veritabanında CWE-843 altında sınıflandırılır.
İkili kodun arka planına karşı Google Chrome Logosu ve Kırmızı ‘Virüs Algılanan’ Uyarı Siber Güvenlik Tehditini Vurgulayan Akıllı Telefon
CISA’nın 23 Eylül 2025’te bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-10585 eklemesi, tehdit aktörlerinin gerçek dünya saldırılarında bu güvenlik kusurunu aktif olarak kullandığını gösteriyor.
Ajans, federal ajansların gerekli yamaları uygulaması veya etkilenen krom kurulumlarını kullanarak durdurulması için zorunlu son tarih olarak 14 Ekim 2025’i kurdu.
Bu kırılganlığın şiddeti, kuruluşlardan ve bireysel kullanıcılardan hemen dikkat edilmesini gerektirir.
CISA’nın bağlayıcı operasyonel direktif BOD 22-01, federal kurumların belirli zaman dilimleri içinde bilinen sömürülen güvenlik açıklarını ele almasını ve bu güvenlik sorununun kritik doğasını vurgulamasını gerektirir.
Kullanıcılar, potansiyel sömürüye karşı korumak için krom tarayıcılarını hemen en son sürüme güncellemelidir.
Google, bu güvenlik açığını ele alan yamalar yayınladı ve otomatik güncellemeler bu düzeltmeleri çoğu kuruluma sunmalıdır.
Ancak, kullanıcılar güvenlik yamasını derhal aldıklarından emin olmak için Chrome’un Ayarlar menüsünden güncellemeleri manuel olarak kontrol etmelidir.
Bulut hizmetlerini kullanan kuruluşlar geçerli BOD 22-01 rehberliğini izlemelidir, hafifletmeler uygulayamayanlar, uygun yamalar uygulanana kadar savunmasız krom versiyonların kullanımını durdurmayı düşünmelidir.
CISA bu güvenlik açığını aktif olarak sömürülen olarak kataloglarken, ajans henüz fidye yazılımı kampanyalarında CVE-2025-10585’in kullanılıp kullanılmadığını henüz belirlememiştir.
Bu belirsizlik, fidye yazılımı operatörleri sistemlere ve ağlara ilk erişim elde etmek için tarayıcı güvenlik açıklarını sıklıkla silahlandırdığı için başka bir endişe katmanı ekler.
V8 motorunun JavaScript’in işlenmesindeki kritik rolü, kötü niyetli web siteleri, enfekte bir sayfayı ziyaret etmenin ötesinde kullanıcı etkileşimi gerektirmeden ziyaretçi sistemlerini tehlikeye atmak için kusurdan yararlanabileceğinden, bu güvenlik açığını özellikle tehlikeli hale getirmektedir.
Sistem yöneticileri, ortamlarında krom güncellemelerine öncelik vermeli ve yeni açıklanan bu güvenlik açığını hedefleyen sömürü denemelerini gösterebilecek şüpheli tarayıcı ile ilgili etkinlikleri izlemelidir.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.