Google, kritik bir sıfır günlük güvenlik açığının vahşi saldırganlar tarafından aktif olarak kullanıldığını doğruladıktan sonra Chrome için bir acil durum güvenlik güncellemesi yayınladı.
CVE-2025-5419 olarak izlenen güvenlik açığı, tehdit aktörlerinin Chrome’un V8 JavaScript motorundaki sınır dışı okuma ve yazma işlemleri yoluyla mağdurların sistemleri üzerinde keyfi kod yürütmesine izin verir.
Teknoloji devi, Windows ve Mac kullanıcıları için Chrome sürümünü 137.0.7151.68/.69 ve Linux sistemleri için 137.0.7151.68’i itti.
.png
)
Google, “CVE-2025-5419 için bir istismarın vahşi doğada var olduğunu” açıkça belirtti ve bunu anında kullanıcı dikkatini gerektiren yüksek öncelikli bir güvenlik sorunu olarak işaretledi.
Krom 0 günlük güvenlik açığı sömürüldü
CVE-2025-5419, 27 Mayıs 2025’te Google’ın tehdit analiz grubundan Clement Lecigne ve Benoît Sevens tarafından keşfedildi ve bildirildi. Güvenlik açığı, Web sitelerinden ve web uygulamalarından kodları işleyen V8, Chrome’un JavaScript ve Webassembly motorundaki bellek yolsuzluk sorunlarından kaynaklanıyor.
Saldırganların hassas verileri okumasına veya sistem belleğine kötü amaçlı kod yazmasına izin verebilecekleri için, sınır dışı bellek erişim güvenlik açıkları özellikle tehlikelidir.
Tehditin ciddiyetini tanıyan Google, 28 Mayıs 2025’te acil durum azaltma önlemleri uyguladı ve tüm Chrome platformlarında bir yapılandırma değişikliğini zorladı.
Bu hızlı yanıt, güvenlik açığının kritik doğasını ve dünya çapında Chrome kullanıcılarına ortaya koyduğu aktif tehdidi göstermektedir.
Güvenlik güncellemesi aynı zamanda ikinci bir güvenlik açığı olan CVE-2025-5068, Chrome’un oluşturma motoru olan yanıp sönmede kullanılmayan bir kusur. Güvenlik araştırmacısı Walkman, bu orta yüzlük kırılganlığını 7 Nisan 2025’te bildirdi ve 1.000 dolarlık bir ödül kazandı.
Sıfır günden daha az kritik olmakla birlikte, içermeyen güvenlik açıkları yine de bellek yolsuzluğuna ve potansiyel kod uygulamasına yol açabilir.
Google, kullanıcıların çoğunluğu tarayıcılarını güncelleyene kadar ayrıntılı güvenlik açığı bilgilerine erişimi kısıtlama politikasını sürdürmüştür.
Bu yaklaşım, kullanıcılar savunmasız sürümlerde kalırken, kötü niyetli aktörlerin tersine mühendislik yamalarından yeni istismarlar geliştirmesini önler.
Şirket, istikrarlı sürümlere ulaşmadan önce birçok güvenlik açıkını tespit etmek için kapsamlı güvenlik testi altyapısını kredilendiriyor.
Google, geliştirme sırasında potansiyel güvenlik sorunlarını tanımlamak için adressanitizer, belleğersanitizer, tanımsız işitseler, kontrol akışı bütünlüğü, libfuzzer ve AFL dahil olmak üzere gelişmiş araçlar kullanır.
Chrome kullanıcıları, en son sürümü otomatik olarak indirip yükleyecek olan Chrome hakkındaki Ayarlar> Hakkında Gezerek Tarayıcılarını derhal güncellemelidir.
CVE-2025-5419’un aktif sömürüsü göz önüne alındığında, kullanıcıların bu güncellemeyi acil olarak ele almaları şiddetle tavsiye edilir. Kullanıcılar, bu güvenlik açıklarına karşı koruma sağlamak için Chrome sürümlerini 137.0.7151.68 veya daha yüksek eşleştirebilir.
Kuruluşlar, sıfır gün güvenlik açığını hedefleyen kötü amaçlı web siteleri aracılığıyla potansiyel uzlaşmayı önlemek için bu güncellemeyi ağlarına dağıtmaya öncelik vermelidir.
Canlı Kimlik Hırsızlık Saldırısı UN MASK & Anında Savunma – Ücretsiz Web Semineri