Google, vahşi doğada aktif olarak kullanılmakta olan kritik bir sıfır gün güvenlik açığını ele almak için Chrome 138 için acil durum güvenlik güncellemesi yayınladı.
CVE-2025-6558 olarak izlenen güvenlik açığı, tarayıcının açısını ve GPU bileşenlerini etkiler ve kullanıcıları devam eden saldırılardan korumak için Google’ın güvenlik ekibinden derhal harekete geçmiştir.
Kritik sıfır gün güvenlik açığı keşfedildi
Google’ın tehdit analiz grubu, CVE-2025-6558 olarak adlandırılan Chrome’un açısı ve GPU işleme bileşenlerinde yüksek şiddetli bir güvenlik açığı keşfetti.
Kusur, potansiyel olarak saldırganların etkilenen sistemlerde kötü amaçlı kod yürütmesine izin verebilecek güvenilmeyen girişin yanlış doğrulanmasını içerir.
Güvenlik araştırmacıları Clément Lecigne ve Vlad Stolyarov, Google’ın iç tehdit analiz ekibinden 23 Haziran 2025’te bu güvenlik açığını tespit etti.
Bu keşfin en ilgili yönü, Google’ın “CVE-2025-6558 için bir istismarın vahşi doğada var olduğu” açık bir kabulüdür.
Sıfır günlük bir güvenlik açığı olarak bu atama, saldırganların bir yama kullanılabilir hale gelmeden önce bu kusuru aktif olarak kullandıkları ve kullanıcıların sistemlerinden ve verilerini tehlikeye attığı anlamına geliyor.
Acil durum güvenlik güncellemesi, Windows ve Mac için 138.0.7204.157/158 ve Linux için 138.0.7204.157 ile tüm platformlarda piyasaya sürüldü.
Chrome’un Android sürümü, önümüzdeki günlerde Google Play aracılığıyla aynı güvenlik düzeltmelerini alacak.
| CVE kimliği | Şiddet | Bileşen | Tanım | Ödül | Muhabir |
| CVE-2025-6558 | Yüksek | Açı/gpu | Güvenilmeyen girişin yanlış doğrulanması | Müsait değil | Google Etiketi |
| CVE-2025-7656 | Yüksek | V8 | Tamsayı taşıyor | 7.000 dolar | Shaheen Fazim |
| CVE-2025-7657 | Yüksek | Webrtc | Ücretsizden sonra kullanın | Belirlenecek | jakebiles |
Kritik sıfır gün güvenlik açığının ötesinde, bu güncelleme, Google’ın devam eden güvenlik araştırma girişimleri aracılığıyla keşfedilen diğer birçok güvenlik sorununu ele almaktadır.
Güncelleme, V8’de (CVE-2025-7656) bir tamsayı taşma güvenlik açığı düzeltmeleri ve WebRTC’de (CVE-2025-7657) kullanılmayan bir güvenlik açığı içerir.
Google’ın güvenlik ekibi, istikrarlı kanala ulaşmadan önce potansiyel güvenlik açıklarını tanımlamak için AdresSanitizer, MemorySanitizer ve çeşitli bulanık teknikler dahil olmak üzere gelişmiş algılama yöntemlerini kullanmaya devam ediyor.
Kullanıcılara aktif sömürüye karşı korunmak için krom tarayıcılarını derhal güncellemeleri şiddetle tavsiye edilir.
Güncelleme işlemi çoğu kullanıcı için otomatiktir, ancak manuel güncellemeler Chrome’un Ayarları menüsünden başlatılabilir.
CVE-2025-6558’in aktif sömürüsü göz önüne alındığında, bu güncellemenin ertelenmesi sistemleri devam eden saldırılara karşı savunmasız bırakabilir.
Google, standart güvenlik açıklama uygulamalarını izleyerek kullanıcıların çoğunluğu tarayıcılarını güncelleyene kadar ayrıntılı hata bilgileri üzerindeki erişim kısıtlamaları uyguladı.
Bu ölçülen yaklaşım, yaygın koruma dağıtımını sağlarken ek sömürü önlemeye yardımcı olur.
Günlük Siber Güvenlik Haberleri’nde güncel olun. Bizi takip edin Google News, LinkedIn ve X’te.