Google, saldırganların krom sanal alan korumalarını atlamasına izin veren sıfır günlük bir güvenlik açığı olan CVE-2025-2783’ü düzeltmek için Windows kullanıcılarına Chrome V134.0.6998.178’i sunma sürecindedir.
Güvenlik açığı, Rusya’daki medya kuruluşlarını ve eğitim kurumlarını hedeflemek için devlet destekli bir APT grubu tarafından kullanıldığını keşfeden Kaspersky araştırmacıları tarafından işaretlendi.
CVE-2025-2783 HAKKINDA
Google, kusurun kaynağını şöyle açıklıyor: “Windows’ta Mojo’da belirtilmemiş koşullarda sağlanan yanlış tutamak”. (Mojo, Chromium’un süreçler arası iletişim çerçevesidir.)
Araştırmacılar Igor Kuznetsov ve Boris Larin, CVE-2025-2783’ün nedeninin “Google Chrome’un kum havuzu ve Windows işletim sisteminin kesişiminde mantıklı bir hata olduğunu ve başlangıçta başlarını çizmelerini sağladı:“ Açıkçası kötü niyetli veya yasaklanmış bir şey yapmadan, Saldırı’nın Saldırı’nın Sandbox’ın varoluşunu sürdürmediği gibi bile, ”dedi.
CVE-2025-2783 için keşfedilen istismar, uzaktan kod yürütülmesini sağlayan başka biriyle birlikte kullanılmıştır.
Bayrakladıkları saldırılar, (o zaman) tehlikeye atılan bir web sitesine bağlanan kimlik avı e-postalarını içeriyordu. Web sitesini Chrome tarayıcısında açmak istismarları tetikledi ve sofistike kötü amaçlı yazılımların indirilmesi ve çalıştırılması ile sonuçlandı.
Kaspersky araştırmacıları, “Ne yazık ki, bu ikinci istismar elde edemedik, çünkü bu özel durumda yeni bir saldırı dalgası beklemeyi ve kullanıcıları enfeksiyon riskine maruz bırakmayı gerektirecekti. Neyse ki, sanal alanından kaçmak için kullanılan güvenlik açığının tüm saldırı zincirini etkili bir şekilde engelliyor” dedi.
Saldırganların hedefinin casusluk olduğuna inanıyorlar.
Ne yapalım?
Bir Windows ve Chrome kullanıcısıysanız ve tarayıcınızı manuel olarak güncellemeyi seçtiyseniz, şimdi bunu yapma zamanı: masaüstündeki tüm krom pencereleri kapatın, ardından güncellemeyi uygulamak için Chrome’u yeniden başlatın.
Otomatik güncellemeyi tercih eden kullanıcıların hiçbir şey yapması gerekmez.
CVE-2025-2783 yalnızca Windows’taki Chrome kullanıcılarını etkiler. Mac ve Linux kullanıcıları bu güncellemeyi almayacak.