Google, vahşi doğada bir istismarın bulunduğu Chrome tarayıcısındaki bir güvenlik açığını ele almak için güvenlik güncellemeleri yayınladı.
CVE-2025-6554 (CVSS skoru: N/A) olarak izlenen sıfır gün güvenlik açığı, V8 JavaScript ve Webassembly motorunda kafa karıştırıcı bir kusur olarak tanımlanmıştır.
NIST’in Ulusal Güvenlik Açığı Veritabanı (NVD) üzerindeki hatanın açıklamasına göre, “Google Chrome’da 138.0.7204.96’dan önce Google Chrome’da karışıklık yazın.
Tip Karışık Güvenlik açıkları, beklenmedik yazılım davranışını tetiklemek için kullanılabilecekleri için ciddi sonuçlara sahip olabilir, bu da keyfi kod ve program çökmelerinin yürütülmesine neden olur.
Bunun gibi sıfır gün hataları özellikle risklidir, çünkü saldırganlar genellikle bir düzeltme mevcut olmadan önce bunları kullanmaya başlar. Gerçek dünya saldırılarında, bu kusurlar bilgisayar korsanlarının casus yazılım yüklemesine, sürüşle indirmeleri başlatmasına veya sessizce zararlı kod çalıştırmasına izin verebilir-bazen sadece birisinin kötü amaçlı bir web sitesi açmasını sağlayarak.
Google’ın Tehdit Analiz Grubu’ndan (TAG) Clément Lecigne, 25 Haziran 2025’te kusurun keşfedilmesi ve raporlanmasıyla kredilendirildi, bu da yüksek hedefli saldırılarda silahlandırılmış olabileceğini gösteriyor.
Google’ın tehdit analiz grubunun katılımı genellikle bir istismarın hedeflenen saldırılarla bağlantılı olabileceğine işaret eder-muhtemelen ulus devlet aktörlerini veya gözetim operasyonlarını içerir. TAG genellikle kimlik avı kampanyaları, sıfır tıkaç istismarları veya tarayıcı sanal alanını atlamaya çalışır.
Teknoloji devi ayrıca, sorunun ertesi gün tüm platformlarda istikrarlı kanala itilen bir yapılandırma değişikliği vasıtasıyla hafifletildiğini belirtti. Günlük kullanıcılar için bu, tehdidin henüz yaygın olmayabileceği anlamına gelir, ancak özellikle hassas veya yüksek değerli verileri idare eden rollerdeyseniz, yine de acildir.
Google, güvenlik açığı hakkında herhangi bir ek ayrıntı yayınlamadı ve kimin sömürdüğü, ancak “vahşi doğada CVE-2025-6554 için bir istismar olduğunu” kabul etti.
CVE-2025-6554, CVE-2025-2783, CVE-2025-4664 ve CVE-2025-5419’dan sonraki yılın başlangıcından bu yana Google tarafından ele alınacak Chrome’da dördüncü sıfır günlük güvenlik açığıdır. Bununla birlikte, CVE-2025-4664’ün kötü niyetli bir bağlamda istismar edilip edilmediğine dair hiçbir netlik olmadığını belirtmektedir.
Potansiyel tehditlere karşı korumak için Chrome tarayıcısını Windows için 138.0.7204.96/.97, MacOS için 138.0.7204.92/.93 ve Linux için 138.0.7204.96 sürümlerine güncellemesi önerilir.
Tarayıcınızın güncel olup olmadığından emin değilseniz, Google Chrome hakkında Ayarlar> Yardım> adresine gidin – en son güncellemeyi otomatik olarak tetiklemelidir. İşletmeler ve BT ekipleri için birden fazla uç noktayı yöneten, otomatik yama yönetimi ve tarayıcı sürüm uyumluluğunu izleme sağlamak kritiktir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi diğer krom tabanlı tarayıcıların kullanıcılarına, düzeltmeleri kullanılabilir oldukları zaman ve ne zaman uygulamaları tavsiye edilir.