Google’ın Çarşamba günü düzelttiği yüksek şiddetli bir krom güvenlik açığı (CVE-2025-4664) saldırganlar tarafından kaldırılıyor, CISA, bilinen sömürülen güvenlik açıkları kataloğuna kusur ekleyerek onayladı.
CVE-2025-4664 HAKKINDA
CVE-2025-4664, Google Chrome’un yükleyicisinde, saldırganların hesapları devralmak için kullanılabilecek tarayıcı sızıntısı çapraz orijin verilerini yapmak için kullanabileceği yetersiz politika uygulamasından kaynaklanmaktadır.
Güvenlik açığı, Windows, MacOS ve Linux’ta v136.0.7103.113/.114’ten önceki Chrome sürümlerinde kötü niyetli bir şekilde hazırlanmış bir HTML sayfası ile tetiklenebilir.
“Google, CVE-2025-4664 bilgisinin vahşi doğada var olduğunun farkındadır,” dedi şirket güncellemeyi ittiğinde ve güvenlik araştırmacısı Vsevolod Kokorin, yani “Slonser_” tarafından bir X (eski Twitter) gönderisine atıfta bulundu.
Google tarafından kullanılan dil, 5 Mayıs 2025’ten beri varlığı halka açık olan sorunun saldırganlar tarafından kaldırılıp yararlanmadığını kesin olarak bilmeyi imkansız hale getirdi. Cisa, Kev kataloğuna ekliyor, bunun olduğunu doğrular.
“Sorun şu ki [Chrome’s] Bağlantı başlığı bir yönlendirici politiği ayarlayabilir. Güvenli olmayan-url belirleyebilir ve tam sorgu parametrelerini yakalayabiliriz. Sorgu parametreleri hassas veriler içerebilir – örneğin, OAuth akışlarında, bu bir hesap devralmasına yol açabilir ”dedi.
“Geliştiriciler nadiren 3. taraf bir kaynaktan bir görüntü aracılığıyla sorgu parametrelerini çalma olasılığını düşünüyorlar-bu da bu numarayı bazen şaşırtıcı derecede kullanışlı hale getiriyor.”
Tabii ki, Chrome kullanıcıları saldırının işe yaraması için kötü niyetli hazırlanmış HTML sayfasını açmak zorunda kalacaklardı, ancak bu adımı elde etmek zor değil.
Tarayıcılarınızı güncelleyin (ler)
KEV kataloğuna eklenen CVE-2025-4664, sivil ABD federal devlet kurumlarının belirtilen tarihe kadar kırılganlığı azaltması gerektiği anlamına gelir: 5 Temmuz 2025.
Ancak özel sektördeykenler de dahil olmak üzere diğer kuruluşlar, Chrome’un sistemlerinde güncellendiğinden emin olmalıdır.
Chrome kullanıyorsanız ve tarayıcınızı manuel olarak güncellemeyi seçtiyseniz, şimdi bunu yapma zamanı. En son güncellemeyi uygulamak için, tüm açık krom pencereleri kapatın, ardından tarayıcıyı yeniden açın.
Otomatik güncellemeleriniz varsa, Chrome arka planda kendini güncelleyeceğinden, işlem gerekmez.
CVE-2025-4664 de Microsoft Edge’de sabitlendi ve Opera ve Brave gibi diğer krom tabanlı tarayıcıların yakında düzeltmeyi uygulaması bekleniyor.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!