Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Google Chrome’u etkileyen kritik bir güvenlik açığını Bilinen Açıklardan Yararlanan Güvenlik Açıkları (KEV) kataloğuna ekleyerek, vahşi ortamda aktif istismar uyarısında bulundu.
CVE-2025-13223 olarak takip edilen kusur, Google Chromium’un V8 JavaScript motorunda bulunuyor ve dünya çapında milyonlarca kullanıcı için acil bir tehdit oluşturuyor.
Güvenlik Açığı Anlamak
CVE-2025-13223, Chromium V8’de yer alan ve saldırganların savunmasız sistemlerdeki yığın belleği bozmasına olanak tanıyan bir tür karışıklığı güvenlik açığıdır.
Bir uygulama bir nesnenin veri türünü yanlış yorumladığında tür karışıklığı meydana gelir ve bu durum, rakiplerin bellek işlemlerini değiştirmesine ve muhtemelen etkilenen tarayıcı işleminin ayrıcalıklarıyla rastgele kod yürütmesine olanak tanır.
Güvenlik açığı, uyumsuz türdeki bir kaynağa erişime odaklanan bir zayıflık kategorisi olan CWE-843 kapsamına girmektedir.
Bu sınıflandırma, kusurun teknik niteliğinin ve ciddi istismar potansiyelinin altını çizmektedir.
Google Chrome’a ve aralarında Edge, Opera ve Brave’in de bulunduğu sayısız Chromium tabanlı tarayıcıya güç veren V8 motoru, bu güvenlik açığını özellikle yaygın ve endişe verici hale getiriyor.
CISA, 19 Kasım 2025’te Bilinen Yararlanılan Güvenlik Açıkları kataloğuna CVE-2025-13223’ü ekledi; bu, bu kusurdan yararlanan aktif saldırılara ilişkin doğrulanmış raporlara işaret ediyor.
Kuruluşların ve bireylerin 10 Aralık 2025’e kadar yama uygulaması veya azaltma stratejileri uygulaması gerekiyor. Bu 21 günlük süre, tehdidin ciddiyetini yansıtıyor.
CISA’nın kılavuzuna göre kullanıcılar, satıcı tarafından sağlanan azaltıcı önlemlerin hemen uygulanmasına öncelik vermelidir.
Bulut hizmeti dağıtımları için kuruluşların, internete yönelik güvenlik açıklarının iyileştirilmesini zorunlu kılan Bağlayıcı Operasyonel Direktif 22-01’de (BOD 22-01) belirtilen gereksinimlere uyması gerekir.
Yamalar kullanılamıyorsa CISA, düzeltmeler sağlanana kadar etkilenen ürünlerin kullanımına devam edilmemesini önerir.
Kuruluşların ve bireysel kullanıcıların sistemlerini korumak için aşağıdaki adımları atması gerekir.
Öncelikle Google Chrome’u ve tüm Chromium tabanlı tarayıcıları mevcut en son sürüme güncelleyin.
Otomatik güncellemelerin uygulandığını doğrulamak için tarayıcınızın hakkında sayfasını kontrol edin. İkinci olarak, tarayıcınızın, ayarlarınızda otomatik olarak etkinleştirilen güvenlik yamalarını aldığını doğrulayın.
Üçüncüsü, kurumsal bir ortam yönetiyorsanız, kurumsal düzeyde tarayıcı güvenlik kontrollerini ve uç nokta algılama ve yanıt (EDR) çözümlerini dağıtmayı düşünün.
Güvenlik ekipleri ayrıca, istismar girişimlerine karşı ağ günlüklerini izlemeli ve tarayıcı süreçlerine yönelik ek izleme uygulamalıdır.
Tehdit istihbaratı beslemeleri, bu güvenlik açığından yararlanılmasıyla ilgili tehlike göstergeleri sağlayabilir.
CISA, aktif istismarı doğrulamış olsa da, fidye yazılımı kampanyasına katılımla ilgili ayrıntılar şu anda bilinmiyor.
Ancak KEV kataloğuna hızlı bir şekilde eklenmesi ve yararlanma yolunun basit olması, saldırganların muhtemelen güvenilir yararlanma teknikleri geliştirdiğini gösteriyor.
Kuruluşlar, yaygın tarama ve istismar girişimlerinin sürdüğünü varsaymalıdır.
Bu olay, tarayıcı yamalarını güncel tutmanın kritik önemini vurgulamaktadır. V8 tipi kafa karışıklığı güvenlik açıklarından tarihsel olarak, yüksek değerli varlıkları hedef alanlar da dahil olmak üzere karmaşık saldırılarda yararlanılmıştır.
Koordineli CISA uyarısı ve agresif yama uygulama zaman çizelgesi, siber güvenlik yetkililerinin bu kusura atfettiği ciddiyetin sinyalini veriyor.
Kullanıcılar ve yöneticiler bu güvenlik açığını öncelikli bir düzeltme öğesi olarak ele almalıdır.
Aktif yararlanma, geniş çapta etkilenen yazılım dağıtımı ve güçlü yararlanma yeteneklerinin birleşimi, CVE-2025-13223’ü Chromium tabanlı tarayıcılar kullanan tüm sistemlerde hızlı eylem gerektiren acil bir güvenlik sorunu haline getiriyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak olarak ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.