Google, hackerların vahşi doğada aktif olarak kullandığı kritik bir güvenlik açığını yamalamak için Chrome için acil bir güvenlik güncellemesi yayınladı.
Teknoloji devi dün, Chrome’un kararlı kanalının Windows ve Mac için 136.0.7103.113/.114 sürümüne ve Linux’un yüksek şiddetli sıfır gün kusuru da dahil olmak üzere dört güvenlik sorununu ele alması için 136.0.7103.113’e güncellendiğini duyurdu.
Güvenlik araştırmacıları CVE-2025-4664’ü bu sürümdeki en ciddi güvenlik açığı olarak tanımladılar. Bu güvenlik açığı, Chrome’un tarayıcı mimarisindeki “yükleyicide yetersiz politika uygulaması” ndan kaynaklanmaktadır.
.png
)
Bu kusur, saldırganların güvenlik politikalarını atlamasına izin vererek, özel olarak hazırlanmış HTML sayfaları aracılığıyla yetkisiz kod yürütme ve çapraz orijin veri sızıntılarını sağlıyor.
“Kusur, bir saldırganın Chrome’un yükleyici mantığı içindeki güvenlik politikalarını atlamasına izin vererek, potansiyel olarak yetkisiz kod yürütülmesine veya sanal alan kaçışına yol açar” diye açıkladı.
Google Chrome 0 günlük güvenlik açığı
Google, “CVE-2025-4664 için bir istismarın vahşi doğada var olduğu raporlarının farkında olduklarını” doğruladı.
Güvenlik açığı başlangıçta 5 Mayıs 2025’te güvenlik araştırmacısı @slonser_ tarafından bir X yazısı aracılığıyla açıklandı, bu da kötü niyetli aktörlerin yama serbest bırakılmadan günler veya haftalar önce kusurdan yararlanmış olabileceğini gösterdi.
Google, kullanıcıların tarayıcılarını güncellerken daha fazla kötüye kullanımı önleyecek olan, devam eden sömürü girişimleri hakkında belirli ayrıntıları açıklamamıştır.
Sıfır gün güvenlik açığına ek olarak, Chrome güncellemesi, “Mojo’da belirtilmemiş koşullarda sağlanan yanlış tutamak” içeren bir başka yüksek şiddetli kusur olan CVE-2025-4609’u ele alır.
Güvenlik araştırmacıları, Chrome’un Mojo IPC (süreçler arası iletişim) katmanındaki hataların, Chrome gibi karmaşık, çok işsiz uygulamalarda ayrıcalık artış ve bellek bozulması gibi ciddi sorunlara yol açabileceğini açıklıyor.
Chrome’un güvenlik ekibi, @slonser_ ve 22 Nisan’da Mojo kırılganlığını bildiren Micky adlı bir araştırmacı, bu güvenlik sorunlarını belirlemek için dış araştırmacılara kredi verdi.
Google’ın Chromium’da 300’den fazla hata bulan AdresSanitizer gibi araçlar da dahil olmak üzere devam eden dahili güvenlik çabaları, Chrome’un güvenlik duruşunu güçlendirmeye devam ediyor.
Kullanıcılar Chrome sürümlerini doğrulayabilir ve tarayıcılarında “Chrome: // Settings/Yardım” a giderek bir güncellemeyi tetikleyebilir. Güncelleme önümüzdeki günler ve haftalarda otomatik olarak piyasaya sürülecek, ancak güvenlik uzmanları bu güvenlik açığının kritik doğası göz önüne alındığında güncellemeleri manuel olarak kontrol etmenizi öneriyor.
Kullanıcıların yüklediklerinden emin olmaları gereken en son sürümler, Windows/Mac için Chrome 136.0.7103.113/.114 ve Linux için Chrome 136.0.7103.113’tür. Android kullanıcıları, masaüstü sürümleriyle aynı güvenlik düzeltmelerini içeren Google Play aracılığıyla Chrome 136.0.7103.125 alacaklar.
Bu olay, güvenilmeyen içeriği internetten işleyen web tarayıcılarının karşılaştığı devam eden güvenlik zorluklarını vurgulamaktadır.
Chrome, tüm platformlarda yaklaşık% 65 pazar payı ile dünyanın en popüler tarayıcısı olarak konumunu korur ve bu da onu kötü amaçlı aktörler için çekici bir hedef haline getirir.
Google, güvenlik araştırmacılarını, kritik güvenlik kusurlarını keşfetmek için 250.000 dolara kadar ödülle, hata ödül programı aracılığıyla güvenlik açıklarını bulmaya ve raporlamaya teşvik etmeye devam ediyor.
Hızlı yama dağıtım ve güvenlik açıklarının şeffaf ifşası da dahil olmak üzere şirketin proaktif yaklaşımı, dünya çapında milyarlarca kullanıcının korunmasında çok önemlidir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri