Google, dördüncü 2025’te bulunan dördüncü olan, üründeki aktif olarak sömürülen sıfır gün güvenlik açığını belirledikten sonra yaygın olarak kullanılan Chrome tarayıcısına acil bir güncelleme getirdi.
CVE-2025-6554 olarak izlenen, Krom tabanlı tarayıcılarda JavaScript kodunu derleyen ve yürüten Google tarafından geliştirilen V8 JavaScript motorunda bir tür karışıklık kusuru olarak tanımlanır.
Google Tehdit Analiz Grubu’nun (TAG’s) Clément Lecigne tarafından 25 Haziran’da tanımlandı ve ertesi günü, şu anda tüm platformlarda kararlı kanala itilen bir yapılandırma değişikliği ile düzeltildi.
Kontrol edilmeden bırakılan, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) tarafından işletilen ABD Ulusal Güvenlik Açığı Veritabanı (NVD), yüksek şiddetli kırılganlığın, uzak saldırganların özel olarak hazırlanmış bir HTML sayfası aracılığıyla keyfi okuma veya yazma işlemleri gerçekleştirmesine izin verebileceğini söyledi.
Layman’ın terimleriyle, bu, saldırgan kontrollü bir web sitesini ziyaret etmek için çekilen savunmasız Chrome kullanıcılarının, tehdit aktörlerinin casus yazılımlar da dahil olmak üzere kötü amaçlı yazılımlar kurduğu veya çevresinde daha derin yanal hareketler yapmak veya gizli verilere erişmek için güvenlik kısıtlamalarını atlamak gibi diğer kötü niyetli eylemleri yerine getirebileceği anlamına gelir.
Google, güncelleme bildiriminde “Google, CVE-2025-6554 için bir istismarın var olduğunun farkında” dedi.
Bununla birlikte, güncellemenin tüm Chrome kullanıcılarına filtrelenmesi biraz zaman alabileceği göz önüne alındığında, Google, siber saldırılarda bir istismar kullanıldığı gerçeğinin ötesinde konunun başka teknik detayları sağlamadı. Google etiketinin sıklıkla devlet destekli siber etkinlik hakkında sık sık izlediğini ve raporlarını izlediğini, ancak bu, bu tür herhangi bir tehdit bağlantısına atıfın bir göstergesi olmadığı için unutmayın.
Chrome kullanıcıları, tarayıcı pencerelerinin sağ üst köşesindeki üç noktalı simge aracılığıyla ve ardından Google Chrome’a tıklayarak, yardım menüsüne giderek tarayıcılarının güncel olup olmadığını kontrol edebilir. Çoğu durumda, henüz uygulanmadıysa güncellemeyi otomatik olarak tetiklemelidir.
Tip Karışık Hatalar Nelerdir?
Bir program, bir program bir nesne kaynağının türü hakkında yanlış bir varsayım yaptığında ve varsayılan tür gibi erişmeye veya kullanmaya çalıştığında ortaya çıkar. Bu, kazalar, veri bozulması ve yanlış bellek erişimi gibi hataları ve istenmeyen davranışları atar veya bu durumda keyfi kod yürütülmesini sağlar.
Saldırganlar, V8 içindeki yanlış tür varsayımlarını tetiklemek için belirli JavaScript kodu yazarak bu koşullardan yararlanabilir.
Bu hatalar C ve C ++ kodlama dillerinde ortaya çıkma eğilimindedir – Chrome ve V8, C ++ ile yazılmıştır – hafıza güvenliği mekanizmalarıyla ilgilidir, ancak Socradar’a göre PHP ve Perl kodunda da görülmüştür.
Chrome, Firefox veya Safari gibi web tarayıcılarının yanı sıra, PDF okuyucularında, V8’in yanı sıra diğer JavaScript motorlarında veya işletim sistemi bileşenlerinde de ortaya çıkabilir.
Geliştiriciler, derleme ve çalışma zamanında uygun tür kontrolleri yaparak, mümkünse bellek güvenli dilleri kullanarak, çalışma zamanı türü doğrulama kontrollerini uygulayarak, tür dökümüne odaklanan kod incelemeleri yaparak ve potansiyel sorunları hatta tespit etmek için statik analiz araçları kullanarak yazılımlarına tür karışıklık kusurları tanıtmaktan kaçınabilirler.