Google, krom tarayıcının aktif olarak sömürülen bir kusuru düzeltmesi için bir güncelleme yayınladı.
Güncelleme, kararlı kanalı Windows ve Mac için 137.0.7151.68/.69 ve Linux için 137.0.7151.68 sürümlerine getiriyor.
Chrome’u güncellemenin en kolay yolu, otomatik olarak güncellenmesine izin vermektir, ancak tarayıcınızı asla kapatmazsanız veya bir şeyler ters giderse – tarayıcıyı güncellemenizi engelleyen bir uzatma gibi geride kalabilirsiniz.
Güncellemeyi manuel olarak almak için “Daha Fazla Menü”(Üç yığılmış nokta) > Ayarlar> Chrome Hakkında. Mevcut bir güncelleme varsa, Chrome sizi bilgilendirecek ve indirmeye başlayacaktır. O zaman tek yapmanız gereken, güncellemenin tamamlanabilmesi ve güvenlik açığından korunabilmeniz için tarayıcıyı yeniden başlatmaktır.
Bu güncelleme, bir saldırganın özel olarak hazırlanmış bir HTML sayfasından (web sitesi) kullanmasına izin verebilecek aktif olarak sömürülen bir güvenlik açığını ele aldığı için çok önemlidir.
Teknik detaylar
CVE-2025-5419 olarak izlenen güvenlik açığı, Google’ın JavaScript’i işlemek için geliştirdiği motor olan Google Chrome’un “V8” de okunan ve yazma dışı bir okuma ve yazma. Google Chrome sürümünden önce 137.0.7151.68’den önce, bu güvenlik açığı uzak bir saldırganın hazırlanmış bir HTML sayfası aracılığıyla yığın yolsuzluğunu potansiyel olarak kullanmasına izin verdi.
V8, geçmişte önemli bir güvenlik problemi kaynağı olmuştur.
Binek dışı okunan ve yazma güvenlik açığı, saldırganın cihazın belleğinin ulaşılamaması gereken kısımlarını manipüle edebileceği anlamına gelir. Bir programdaki böyle bir kusur, programın ayarlandığı sınırların dışında okumasını veya yazmasını sağlar ve saldırganların daha kritik işlevlere ayrılan belleğin diğer bölümlerini manipüle etmesini sağlar. Saldırganlar, sistemin programın ve kullanıcının sahip olmaması gereken izinlerle yürüttüğü belleğin bir kısmına kod yazabilir.
Google, saldırganların şu anda The Wild’da CVE-2025-5419’dan yararlandığını, ancak kusurdan kimin kullandığı, gerçek dünya saldırılarında nasıl yaptıkları veya bu saldırılarda hedeflerin kim olduğu hakkında henüz bir ayrıntı yayınladığını biliyor. Bununla birlikte, istismar keşfeden Google Tehdit Analiz Grubu (TAG) ekibi, casusluk amaçları için sıfır günü kötüye kullanan casus yazılımlara ve ulus devlet saldırganlarına odaklanmaktadır.
Bu Chrome güncellemesi ayrıca açık kaynaklı oluşturma motoru yanıp sönen ve dahili olarak keşfedilen bir güvenlik açığı içinde orta yüzlü, kullanılmayan bir kusur (CVE-2025-5068) yamalar.
Sadece rapor etmiyoruz Tarayıcı güvenlik açıkları. Malwarebytes’in tarayıcı koruması tarayıcınızı kötü amaçlı web sitelerine ve kredi kartı sıyırıcılarına karşı korur, istenmeyen reklamları engeller ve ilgili veri ihlalleri ve dolandırıcılıkları konusunda sizi uyarır.