Google Salı günü, Chrome Web tarayıcısındaki altı güvenlik sorunu için, vahşi doğada kullanıldığını söylediği de dahil olmak üzere düzeltmeler yaptı.
Söz konusu yüksek şiddetli güvenlik açığı CVE-2025-6558 (CVSS Puanı: 8.8), tarayıcının açısına ve GPU bileşenlerine güvenilmeyen girişin yanlış bir validasyonu olarak tanımlanmıştır.
NIST’in ulusal güvenlik açığı veritabanından (NVD) olan kusurun açıklamasına göre, “Uzak bir saldırganın hazırlanmış bir HTML sayfası üzerinden potansiyel olarak bir sanal alan kaçışı gerçekleştirmesine izin verdi.
“Neredeyse yerel grafik katman motoru” nın kısaltması, Chrome’un oluşturma motoru ve cihaza özgü grafik sürücüleri arasında bir çeviri katmanı görevi görür. Modüldeki güvenlik açıkları, tarayıcıların genellikle izole tuttuğu düşük seviyeli GPU işlemlerini kötüye kullanarak saldırganların Chrome’un kum havuzundan kaçmasına izin verebilir, bu da bunu daha derin sistem erişimine nadir ama güçlü bir yol haline getirir.
Çoğu kullanıcı için, bunun gibi bir sanal alan kaçışı, bir kötü amaçlı siteyi ziyaret etmenin, tarayıcının güvenlik balonundan patlamak ve temel sistemle etkileşime girmek için yeterli olduğu anlamına gelir. Bu, özellikle bir web sayfasının açılmasının herhangi bir indirme veya tıklama gerektirmeden sessiz bir uzlaşmayı tetikleyebileceği hedeflenen saldırılarda kritiktir.
Google’ın Tehdit Analiz Grubu’ndan (TAG) Clément Lecigne ve Vlad Stolyarov, 23 Haziran 2025’te sıfır gün güvenlik açığını keşfetmek ve raporlamakla kredilendirildi.
Kusurun silahını veren saldırıların kesin doğası açıklanmadı, ancak Google “CVE-2025-6558 için sömürü vahşi doğada” olduğunu kabul etti. Bununla birlikte, Tag tarafından yapılan keşif, ulus-devlet katılımı olasılığını ifade ediyor.
Geliştirme, Google’ın 25 Haziran 2025’te Lecigne tarafından da bildirilen başka bir aktif olarak sömürülen Chrome sıfır gününe (CVE-2025-6554, CVSS skoru: 8.1) hitap etmesinden yaklaşık iki hafta sonra geliyor.
Google, Chrome’da yılın başlangıcından bu yana aktif olarak sömürülen veya bir kavram kanıtı (POC) olarak gösterilen toplam beş sıfır günlük güvenlik açığını çözdü. Bu şunları içerir: CVE-2025-2783, CVE-2025-4664, CVE-2025-5419 ve CVE-2025-6554.
Potansiyel tehditlere karşı korunmak için Chrome tarayıcısını Windows ve Apple macOS için 138.0.7204.157/.158 ve Linux için 138.0.7204.157 sürümlerine güncellemesi önerilir. En son güncellemelerin yüklendiğinden emin olmak için kullanıcılar Google Chrome hakkında daha fazla> yardım> için gezinebilir ve yeniden başlatmayı seçebilir.
Microsoft Edge, Brave, Opera ve Vivaldi gibi diğer krom tabanlı tarayıcıların kullanıcılarına, düzeltmeleri kullanılabilir oldukları zaman ve ne zaman uygulamaları tavsiye edilir.
Bunun gibi konular genellikle GPU sandbox kaçışları, gölgeyle ilgili hatalar veya WebGL güvenlik açıkları gibi daha geniş kategorilere girer. Her zaman başlık-tutma olmasa da, zincirlenmiş istismarlarda veya hedeflenen saldırılarda yeniden ortaya çıkma eğilimindedirler. Chrome güvenlik güncellemelerini takip ederseniz, grafik sürücü kusurları, ayrıcalık sınır bypass ve oluşturma yollarındaki bellek bozulmasını, genellikle yamaya layık hataların bir sonraki turuna işaret ettikleri için dikkat çekmeye değer.