ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), Google Chrome’da saldırılarda aktif olarak sömürülen yüksek şiddetli bir sıfır günlük güvenlik açığı hakkında bir uyarı yayınladı.
CVE-2025-10585 olarak izlenen güvenlik açığı, CISA’nın bilinen sömürülen güvenlik açıkları (KEV) kataloğuna eklendi ve kullanıcıların ve yöneticilerin harekete geçmesi için acil bir ihtiyaca işaret ediyor.
Google, vahşi doğada bu kusurun bir istismarın var olduğunun farkında olduğunu ve tehdidi ele almak için güvenlik güncellemeleri yayınladığını doğruladı.
V8 tipi karışıklık kusurunu anlamak
Güvenlik açığı, Chrome’un V8 JavaScript ve Webassembly motorundaki bir tip karışıklık zayıflığıdır. Bir program, bir program uyumsuz bir türe sahip bir kaynağa erişmeye çalıştığında, verileri yanlış yorumlamasına neden olduğunda bir tür karışıklık kusuru (CWE-843) oluşur.
Bu, bir saldırganın tarayıcıyı çökerten veya daha eleştirel olarak etkilenen sistemde keyfi kod yürütebileceği bellek yolsuzluğuna yol açabilir.
Kusur, 16 Eylül 2025’te Google’ın Kendi Tehdit Analiz Grubu (TAG) tarafından keşfedildi ve bildirildi.
Google, belirli saldırılar veya ilgili tehdit aktörleri hakkında teknik ayrıntıları açıklamamış olsa da, bu, kullanıcıların gerekli yamaları uygulama şansı olmadan daha geniş bir sömürüyü önlemek için standart bir uygulamadır.
Bu, 2025 yılında aktif olarak kullanılan altıncı krom sıfır günlük güvenlik açığını işaret ederek tarayıcı güvenlik açıklarını hedefleyen saldırganların kalıcı bir eğilimini vurguluyor.
2025 yılında Google, krom web tarayıcısında vahşi doğada aktif olarak kullanılmayan birden fazla sıfır günlük güvenlik açıkına değindi. Bu kusurlar, kullanıcıları potansiyel saldırılardan korumak için acil güncellemeler gerektiriyordu.
Aşağıdaki tablo, yıl boyunca keşfedilen ve yamalanan krom sıfır gün güvenlik açıklarını detaylandırmaktadır.
| CVE kimliği | Güvenlik Açığı Türü | Tanım | Vahşi doğada sömürüldü |
|---|---|---|---|
| CVE-2025-10585 | Tip Karışıklık | V8 JavaScript motorunda kötü niyetli bir web sayfası aracılığıyla kullanılabilecek bir karışıklık kusuru. | Evet |
| CVE-2025-6558 | Yanlış giriş doğrulaması | Uzak bir saldırganın bir sanal alan kaçışı gerçekleştirmesine izin veren açı ve GPU bileşenlerine güvenilmeyen girişin yetersiz doğrulanması. | Evet |
| CVE-2025-6554 | Tip Karışıklık | V8 JavaScript ve WebAssembly motorunda, bir saldırganın keyfi okuma/yazma işlemleri gerçekleştirmesine izin verebilecek bir karışıklık güvenlik açığı. | Evet |
| CVE-2025-5419 | Bounds Dışı Erişim | V8 motorunda, hazırlanmış bir web sayfasını ziyaret ederek bellek bozulmasına izin verebilecek bir güvenlik açığı okur ve yazar. | Evet |
| CVE-2025-2783 | Kum havuzu bypass | Chrome’un sanal alan korumasının atlanmasına izin veren kritik bir güvenlik açığı. | Evet |
| CVE-2025-4664 | Yetersiz politika uygulama | Bu güvenlik açığı Google tarafından sıfır gün olarak ele alındı, ancak kötü niyetli saldırılarda aktif olarak kullanılmadığı belirsiz. | Açılı ve GPU bileşenlerine güvenilmeyen girişin yetersiz validasyonu, uzak bir saldırganın bir sanal alanı kaçışını gerçekleştirmesini sağlar. |
CISA Direktifi ve Önerilen Eylemler
Aktif sömürüye yanıt olarak CISA, Federal Sivil Yürütme Şubesi (FCEB) ajanslarını 14 Ekim 2025 yılına kadar Bağlayıcı Operasyonel Direktif (BOD) 22-01’e göre gerekli güvenlik güncellemelerini uygulamaya yönlendirmiştir.
Bu direktif federal ajanslar için zorunlu olmakla birlikte, CISA tüm kuruluşları ve bireysel kullanıcıları potansiyel saldırılara karşı savunmak için sistemlerini düzenlemeye öncelik vermeye teşvik etmektedir.
Güvenlik açığını azaltmak için kullanıcılar Chrome tarayıcılarını en son sürüme güncellemelidir:
- Windows ve MacOS: 140.0.7339.185/.186
- Linux: 140.0.7339.185
Kullanıcılar, en son sürümün otomatik kontrolünü ve kurulumunu tetikleyecek olan “Yardım” ve ardından “Google Chrome Hakkında” seçerek Chrome’un menüsüne giderek güncellemeyi başlatabilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi diğer krom tabanlı tarayıcıların kullanıcılarına da kendi satıcılarından kullanılabilir hale gelir gelmez güvenlik güncellemelerini uygulamaları tavsiye edilir.
Gelecekteki tehditlere karşı derhal koruma sağlamak için otomatik güncellemelerin etkinleştirilmesi şiddetle tavsiye edilir.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
