Google, 2025’teki dördüncü aktif olarak sömürülen Chrome Zero Day’i düzeltiyor


Google Chrome

Google, saldırılarda kullanılmayan başka bir Chrome sıfır günü güvenlik açığı yama yapmak için acil durum güncellemeleri yayınladı ve yılın başından beri sabit dördüncü kusuru işaretledi.

Tarayıcı satıcısı Pazartesi günü bir güvenlik danışmanında, “Google, CVE-2025-6554 için bir istismarın var olduğunun farkında.” Dedi. Diyerek şöyle devam etti: “Bu sorun, 2025-06-26’da tüm platformlarda kararlı kanala itilen bir yapılandırma değişikliği ile hafifletildi.”

Şirket, istikrarlı masaüstü kanalındaki kullanıcılar için sıfır gününü düzeltti, yeni sürümler dünya çapında Windows’a (138.0.7204.96/.97), MAC (138.0.7204.92/.93) ve Linux kullanıcılarına (138.0.7204.96) bir gün sonra Google’a bildirildi.

Hata, Google müşterilerinin devlet destekli ve diğer benzer saldırılardan korunmaya odaklanan bir güvenlik araştırmacıları kolektifi olan Google’ın Tehdit Analiz Grubu (TAG) Clément Lecigne tarafından keşfedildi.

Google Tag, muhalefet politikacıları, muhalifler ve gazeteciler de dahil olmak üzere yüksek riskli bireyleri casus yazılımlarla enfekte etmek için hedeflenen saldırılarda hükümet destekli tehdit aktörleri tarafından konuşlandırılan sıfır gün istismarlarını sık sık keşfeder.

Güvenlik güncellemeleri CVE-2025-6554’ün tüm kullanıcılara ulaşmak için günler veya haftalar sürebilir, ancak Google’a göre, BleepingComputer bugün daha önce güncellemeleri kontrol ettiğinde hemen kullanılabilir.

Manuel olarak güncellememeyi tercih eden kullanıcılar, yeni güncellemeleri otomatik olarak kontrol etmek ve bir sonraki lansmandan sonra yüklemek için web tarayıcısına güvenebilir.

Google Chrome 138.0.7204.93

Bugün sabit olan sıfır gün hatası, Chrome V8 JavaScript motorunda yüksek şiddetli bir karışıklık zayıflığıdır. Bu tür kusurlar genellikle arabellek sınırlarından bellek okuyarak veya yazarak başarılı bir şekilde sömürüldükten sonra tarayıcı çökmelerine yol açarken, saldırganlar, satılmamış cihazlarda keyfi kod yürütmek için de kullanabilirler.

Google, bu güvenlik açığının vahşi doğada kullanıldığını belirtmesine rağmen, şirket henüz bu saldırılarla ilgili teknik ayrıntıları veya ek bilgileri paylaşmadı.

Google, “Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlanabilir. Ayrıca, hatanın diğer projelerin benzer şekilde bağımlı olduğu ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa kısıtlamaları da koruyacağız.” Dedi.

Bu, yılın başlangıcından bu yana dördüncü aktif olarak sömürülen Google Chrome Zero-Day sabiti, üçü Mart, Mayıs ve Haziran aylarında daha yamalı.

Birincisi, Kaspersky’nin Boris Larin ve Igor Kuznetsov tarafından bildirilen yüksek şiddetli bir sanal alan kaçış kusuru (CVE-2025-2783), Rus hükümet organizasyonlarını ve medya kuruluşlarını kötü amaçlı yazılımlarla hedefleyen casusluk saldırılarında kullanıldı.

Google, saldırganların hesapları kaçırmasına izin verebilecek bir Chrome Zero Day’i (CVE-2025-4664) ele almak için Mayıs ayında başka bir acil güvenlik güncellemesi seti yayınladı. Bir ay sonra şirket, Google Tag’in Benoît Sevens ve Clément Lecigne tarafından keşfedilen Chrome’un V8 JavaScript motorunda zayıf bir okuma ve yazma zayıflığına hitap etti.

2024’te Google, PWN2OWN hack yarışmaları sırasında saldırılarda sömürülen veya demo edilen toplam 10 sıfır günlük güvenlik açığı düzenledi.

Tines iğnesi

Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.

Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.



Source link