Google, Chrome için, bunlardan biri tarayıcının sanal alan korumasından kaçmak için saldırganlar tarafından aktif olarak sömürülen yarım düzine güvenlik açığını ele almak için bir güvenlik güncellemesi yayınladı.
Güvenlik açığı CVE-2025-6558 olarak tanımlanır ve 8.8 yüksek oranda bir derecelendirme aldı. 23 Haziran’da Google’ın Tehdit Analiz Grubu’ndaki (TAG) araştırmacılar tarafından keşfedildi.
Güvenlik sorunu, 138.0.7204.157’den önce Google Chrome sürümlerini etkileyen açılı ve GPU’daki güvenilmeyen girişin yetersiz bir doğrulaması olarak tanımlanmaktadır. Başarılı bir şekilde yararlanan bir saldırgan, özel hazırlanmış bir HTML sayfası kullanarak bir sanal alan kaçışı gerçekleştirebilir.
Angle (neredeyse yerel grafik katman motoru), OpenGL ES API’larını Direct3D, Metal, Vulkan ve OpenGL’ye çevirmek için Chrome tarafından kullanılan açık kaynaklı bir grafik soyutlama katmanıdır.
Açı işlemleri, WebGL kullanan web siteleri gibi güvenilmeyen kaynaklardan GPU komutlarını işler olduğundan, bu bileşendeki hataların kritik bir güvenlik etkisi olabilir.
Güvenlik açığı, özel olarak hazırlanmış bir HTML sayfası kullanan bir uzaktan saldırganın, tarayıcının GPU işleminde keyfi kod yürütmesini sağlar. Google, sorunun nasıl tetiklenmesinin tarayıcının kum havuzundan kaçmasına yol açabileceğine dair teknik ayrıntıları sağlamamıştır.
Güvenlik bülteninde Google, “Hata ayrıntılarına ve bağlantılarına erişim, kullanıcıların çoğunluğu bir düzeltme ile güncellenene kadar kısıtlı tutulabilir” diyor.
“Hata, diğer projelerin benzer şekilde bağlı olduğu, ancak henüz düzeltilmediği üçüncü taraf bir kütüphanede bulunursa, kısıtlamaları da koruyacağız.”
Chrome Sandbox bileşeni, tarayıcı işlemlerini temel işletim sisteminden izole eden ve böylece kötü amaçlı yazılımın cihazdan ödün vermek için web tarayıcısının dışına yayılmasını önleyen bir çekirdek güvenlik mekanizmasıdır.
CVE-2025-6558’in yüksek risk ve aktif sömürü durumu göz önüne alındığında, Chrome kullanıcılarına en kısa sürede işletim sistemlerine bağlı olarak 138.0.7204.157/.158 sürümüne güncellemeleri tavsiye edilir.
Bunu gezerek yapabilirsiniz Chrome: // Ayarlar/Yardım ve güncelleme kontrolünün bitmesine izin vermek. Web tarayıcısının yeniden başlatıldıktan sonra güncellemeler başarıyla uygulanacaktır.
Mevcut Chrome Güvenlik Güncellemesi, CVE-2025-7656 olarak izlenen V8 motorunda yüksek şiddetli bir kusur ve CVE-2025-7657 altında izlenen WebRTC’de kullanımsız bir sorun da dahil olmak üzere beş daha güvenlik açığı için düzeltmeler içerir. Bu beşten hiçbiri aktif olarak sömürülmediler.
CVE-2025-6558, yılın başından beri krom tarayıcıda keşfedilen ve sabitlenen beşinci aktif olarak sömürülen kusurdur.
Mart ayında Google, Kaspersky araştırmacıları tarafından keşfedilen CVE-2025-2783’ü yüksek şiddetli bir sanal alan kaçış kusuru düzenledi. Güvenlik açığı, Rus devlet kurumlarına ve medya kuruluşlarına yönelik hedeflenen casusluk saldırılarında kullanılarak kötü amaçlı yazılım sunmuştu.
İki ay sonra, Mayıs ayında Google, Chrome’da saldırganların kullanıcı hesaplarını kaçırmasına izin veren sıfır gün güvenlik açığı olan CVE-2025-4664’ü düzeltmek için başka bir güncelleme yayınladı.
Haziran ayında, şirket, Google Tag’in Benoît Sevens ve Clément Lecigne tarafından bildirilen Chrome’un V8 JavaScript motorunda sınır dışı bir okuma/yazma güvenlik açığı olan CVE-2025-5419’a bir başka ciddi sorunu ele aldı.
Bu ayın başlarında Google, GTAG araştırmacıları tarafından keşfedilen V8 motorunda da Chrome, CVE-2025-6554’teki dördüncü sıfır gün kusurunu düzeltti.
Bulut saldırıları daha sofistike büyüyor olsa da, saldırganlar hala şaşırtıcı derecede basit tekniklerle başarılı oluyorlar.
Wiz’in binlerce kuruluşta tespitlerinden yararlanan bu rapor, bulut-yüzlü tehdit aktörleri tarafından kullanılan 8 temel tekniği ortaya koymaktadır.