Google, Chrome için bir acil durum güvenlik güncellemesi yayınladı ve saldırganların gerçek dünya saldırılarında aktif olarak sömürdüğü kritik bir sıfır günlük güvenlik açığı ele aldı.
Teknoloji devi, CVE-2025-6558’in tehdit aktörleri tarafından kaldırıldığını ve desteklenen tüm platformlarda derhal bir yama dağıtımına yol açtığını doğruladı.
Google Chrome, Windows ve Mac sistemleri için 138.0.7204.157/.158 ve Linux dağıtımları için 138.0.7204.157 sürümüne güncellendi.
Key Takeaways
1. CVE-2025-6558, involving incorrect validation in ANGLE and GPU components, is being actively exploited in the wild according to Google's Threat Analysis Group.
2. Chrome versions 138.0.7204.157/.158 (Windows/Mac) and 138.0.7204.157 (Linux) fix six security vulnerabilities, including three high-severity flaws.
3. The update patches CVE-2025-7656 (integer overflow in V8) and CVE-2025-7657 (use-after-free in WebRTC).
4. Users must update Chrome immediately as the active exploitation poses immediate security risks to unpatched systems.
Güncelleme, altı güvenlik açıklığını ele alıyor ve en şiddetli aktif olarak sömürülen sıfır gün kusuru. Sunum, Google’ın standart dağıtım sürecinin bir parçası olarak önümüzdeki günler ve haftalarda kademeli olarak gerçekleşecektir.
Google Chrome 0 günlük güvenlik açığı
CVE-2025-6558 güvenlik açığı, açılı ve GPU bileşenlerine güvenilmeyen girişin yanlış doğrulanmasından kaynaklanmaktadır. Bu kusur, 23 Haziran 2025’te Google’ın tehdit analiz grubundan Clément Lecigne ve Vlad Stolyarov tarafından keşfedildi ve bildirildi.
Araştırmacıların Google’ın dahili güvenlik ekibine olan ilişkisi, güvenlik açığının gelişmiş tehdit izleme veya olay müdahale faaliyetleri ile tanımlanmış olabileceğini öne sürüyor.
Sıfır gün istismarının ötesinde, Google bu güncellemede diğer iki yüksek şiddetli güvenlik açıkına değindi. CVE-2025-7656, güvenlik araştırmacısı Shaheen Fazim tarafından keşfedilen Chrome’un JavaScript motoru V8’de bir tamsayı taşma sorununu temsil ediyor. Bu güvenlik açığı, kullanıcı güvenliği üzerindeki önemli potansiyel etkisini yansıtan 7.000 dolarlık bir ödül ödülü aldı.
Üçüncü yüksek şiddetli kusur olan CVE-2025-7657, araştırmacı Jakebiles tarafından bildirilen WEBRTC işlevselliğinde kullanılmayan bir güvenlik açığı içermektedir. Kullanımsız güvenlik açıkları potansiyel olarak saldırganların keyfi kod yürütmesine veya sistem çökmelerine neden olmasına izin verebilir.
Google, çoğu kullanıcı güvenlik güncellemesini alana kadar ayrıntılı hata bilgilerine erişimin kısıtlı kaldığını vurguladı. Bu yaklaşım, yaygın dağıtım gerçekleşmeden önce yeni istismarlar geliştirmek için kötü niyetli aktörlerin tersine mühendislik yamalarından kaynaklanmasını önler.
Şirket, diğer projeler tarafından kullanılan üçüncü taraf kütüphaneleri etkileyen güvenlik açıkları için benzer kısıtlamalar sürdürmektedir.
Güncelleme, Google’ın AdresSanitizer, MemorySanitizer, DefinedBehaviorsanitizer, Kontrol Akışı Bütünlüğü, Libfuzzer ve AFL test çerçevelerinden elde edilen sonuçlar dahil olmak üzere devam eden dahili güvenlik girişimlerinden düzeltmeler içeriyor. Bu otomatik güvenlik araçları, potansiyel güvenlik açıkları için Chrome’un kod tabanını sürekli olarak tarar.
Kullanıcılar, krom tarayıcılarını hemen en son sürüme güncellemelidir. Chrome genellikle otomatik olarak güncellenir, ancak kullanıcılar Chrome’un Ayarları menüsüne giderek ve “Google Chrome hakkında” seçerek güncellemeleri manuel olarak kontrol edebilir. CVE-2025-6558’in aktif olarak kullanılması göz önüne alındığında, bu güncellemeyi geciktirmek kullanıcıları önemli güvenlik risklerine maruz bırakabilir.
Bu sıfır gün güvenlik açığının keşfi, tarayıcı ekosistemindeki güvenlik araştırmacıları ve kötü amaçlı aktörler arasındaki devam eden kedi ve fare oyununun altını çiziyor.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi