Google, yaygın olarak kullanılan web tarayıcısı Google Chrome için kritik bir güvenlik ve özellik güncellemesi yayınladı ve günlük olarak milyonlarca insandan biriyseniz, bu kaçırmanız gereken bir güncelleme değil. Windows ve macOS için 136.0.7103.113/.114 ve Linux için 136.0.7103.113-14 Mayıs 2025’teki istikrarlı kanal aracılığıyla piyasaya sürüldü ve orta düzeyde CVE-2025-4372 de dahil olmak üzere çoklu güvenlik güvenliksizlikleri için önemli yamalar getiriyor.
Chrome’un Web ses modülünde “kullanılmayan bir kullanım” güvenlik açığı olan bu özel kusur, tarayıcınızı çökertmek ve hatta saldırganların sisteminizde kötü amaçlı kod yürütmesine izin vermek için kullanılabilir. Ve bu sadece değil: Güncelleme ayrıca, vahşi doğada aktif olarak aktif olarak sömürülen yüksek riskli bir hata olan CVE-2025-4664’e ve bu yıl Chrome’da bulunan ilk doğrulanmış sıfır gün güvenlik açığı olan CVE-2025-2783’e de hitap ediyor.
Bunu yıkalım. Sıfır gün, kullanıcıların kötü aktörler kullanmaya başlamadan önce kusurları yamaları için zaman olmadığı anlamına gelir, böylece saat geçer.
Neden CVE-2025-4664 Önemlidir?
Google, bu güncellemenin aktif olarak kullanılmakta olan dört kritik güvenlik açıklığını ele aldığını doğruladı. En dikkat çekici düzeltmeler arasında, krom yükleyici bileşeninde yetersiz politika uygulanmasına bağlı yüksek şiddetli bir güvenlik açığı olan CVE-2025-4664 bulunmaktadır.
Başlangıçta güvenlik araştırmacısı @slonser_ tarafından 5 Mayıs 2025’te bildirilen CVE-2025-4664, potansiyel saldırganların Chrome’un iç güvenlik politikalarını atlamasına izin veriyor. Bu kusurdan yararlanmak, yetkisiz kod yürütmesine veya hatta sanal alan kaçışına neden olabilir. Google, vahşi doğadaki güvenlik açığının aktif olarak kullanıldığını kabul etti ve kullanıcıları tarayıcılarını derhal güncellemeye teşvik eden bir güvenlik danışmanlığı yayınladı.
Yanıt olarak, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), bilinen sömürülen güvenlik açıkları kataloğuna CVE-2025-4664 ekledi ve kullanıcıları ve kuruluşları 5 Haziran 2025’e kadar yamayı uygulamaya çağırdı.
Bu güncellemedeki bir diğer önemli düzeltme, web ses modülünde “sonsuza dek kullanım” sorun olarak kategorize edilen orta yüzlük bir güvenlik açığı olan CVE-2025-4372’dir. Bu tür güvenlik açıkları potansiyel olarak çökme sistemleri veya kötü amaçlı kod yürütmek için kullanılabilir.
Google ayrıca, bu yıl Chrome’da keşfedilen ilk sıfır gün güvenlik açığı olan CVE-2025-2783’e de hitap etti. Sömürü ile ilgili ayrıntılar sınırlı kalsa da, modern yazılım ekosistemlerindeki sıfır gün tehditlerinin artan sıklığını vurgulamaktadır.
Dördüncü bir güvenlik açığı olan CVE-2025-4609, 22 Nisan 2025’te Micky adlı bir araştırmacı tarafından bildirilmiştir. Bu yüksek şiddetli kusur, Mojo IPC sisteminde belirtilmemiş koşullarda sağlanan yanlış bir saptan kaynaklanmaktadır. CVE-2025-4664 gibi, bu güvenlik açığı, özellikle idari haklarla çalışan kullanıcılarla ilgili olarak, kullanıcı düzeyinde ayrıcalıklarla keyfi kod yürütmek için kullanılabilir.
Google Chrome Performansı ve Özellik Geliştirmeleri
Güvenliğin ötesinde, Chrome sürümü 136.0.7103.113/.114 çeşitli performans iyileştirmeleri ve kullanıcılara dönük özellikler sunar. Dikkate değer arka uç geliştirmeler, genel tarayıcı performansını kolaylaştırmak için tasarlanmış daha verimli oluşturma işlemleri ve daha iyi bellek yönetimi içerir.
Chrome kullanıcıları ayrıca, Tabgroupheader erişilebilir adına güncellemeler ve Popover-Ocum işlevselliğindeki gelişmiş davranışlar gibi yeni özellikler bekleyebilir, bu da her ikisi de kullanıcı gezinmesini ve erişilebilirliğini geliştirmeyi amaçlar.
Ek olarak, geliştiriciler AddTotopLayer işlevinde çökmelere neden olan hataları çözdüler ve Chrome: // Uzantılarındaki Güncelleme düğmesi ile ilgili sorunlar, daha kararlı bir tarama deneyimine katkıda bulundular.
Ne yapmalısın
136.0.7103.113’ten daha eski Google Chrome sürümünü çalıştırıyorsanız, hemen güncelleme zamanı. Google, hem bireysel kullanıcılara hem de kuruluşlara korunmak için yamayı uygulamalarını şiddetle tavsiye eder. Saldırılmamış tarayıcılar kolay hedeflerdir, özellikle CVE-2025-4372 ve CVE-2025-4664 gibi kusurlar saldırganlar tarafından bilinir ve aktif olarak incelenir.
Tavsiye Biri Takip Etmeli:
Otomatik güncellemelerin etkinleştirilmesi, böylece yamaların kullanılabilir oldukları anda uygulanır.
Tam olarak desteklenen ve aktif olarak korunan tarayıcılar ve yazılımlar kullanın.
Saldırganlardan önce eski yazılım sürümlerini yakalamak için kurumsal ortamlarda düzenli güvenlik açığı değerlendirmeleri kullanma.
Çözüm
Kullanıcıların ve kuruluşların yamayı gecikmeden uygulamaları ve otomatik yama prosedürlerini düzenli olarak uygulamaları şiddetle tavsiye edilir. Tehditlere maruz kalmayı en aza indirmek için yalnızca tam desteklenen ve güncel tarayıcılar ve e-posta istemcileri kullanmak da aynı derecede önemlidir.
Google, dış araştırmacıların CVE-2025-4372, CVE-2025-4664 ve CVE-2025-2783 gibi konuları belirlemedeki kritik rolünü kabul etti-bunların bazıları adressanitizer, belleğerleştirici, dispinedBehaviorsanitizer gibi gelişmiş araçlar kullanılarak ortaya çıkarıldı.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.