Google, Chrome Web tarayıcısında başarılı bir sömürü takiben tam hesap devralmasına yol açabilecek yüksek aralıklı bir güvenlik açığı yama yapmak için acil durum güvenlik güncellemeleri yayınladı.
Bu güvenlik kusurunun saldırılarda kullanılıp kullanılmadığı belirsiz olsa da, şirket bunun kamuya açık bir sömürü olduğu konusunda uyardı, bu da genellikle aktif sömürüye işaret ediyor.
Çarşamba güvenlik danışmanında Google, “Google, CVE-2025-4664 için bir istismarın vahşi doğada bulunduğuna dair raporların farkında.” Dedi.
Güvenlik açığı, Solidlab güvenlik araştırmacısı VSevolod Kokorin tarafından keşfedildi ve Google Chrome’un yükleyici bileşeninde, uzak saldırganların kötü niyetli HTML sayfaları aracılığıyla çapraz orijin verilerini sızdırmasına izin veren yetersiz bir politika uygulaması olarak tanımlandı.
Kokorin, “Muhtemelen diğer tarayıcıların aksine, Chrome’un alt testlik isteklerinde bağlantı üstbilgisini çözdüğünü biliyorsunuz. Ama sorun nedir? Sorun, bağlantı başlığının bir yönlendirici politiği ayarlayabilmesidir. Güvensiz olmayan-url belirleyebilir ve tam sorgu parametrelerini yakalayabiliriz.”
“Sorgu parametreleri hassas veriler içerebilir – örneğin, OAuth akışlarında bu bir hesap devralmasına yol açabilir. Geliştiriciler nadiren bir 3. taraf kaynağından bir görüntü aracılığıyla sorgu parametrelerini çalma olasılığını düşünürler.”
Google, kararlı masaüstü kanalındaki kullanıcılar için kusurları düzeltti (Windows/Linux için 136.0.7103.113 ve macOS için 136.0.7103.114) dünya çapında kullanıcılara yayıldı.
Şirket, güvenlik güncellemelerinin önümüzdeki günler ve haftalarda piyasaya sürüleceğini söylemesine rağmen, BleepingComputer güncellemeleri kontrol ettiğinde hemen kullanılabilir.
Chrome’u manuel olarak güncellemek istemeyen kullanıcılar, tarayıcının yeni güncellemeleri otomatik olarak kontrol etmesine ve bir sonraki lansmandan sonra yüklemesine izin verebilir.
Mart ayında Google ayrıca, Rus hükümet kuruluşlarını, medya kuruluşlarını ve eğitim kurumlarını hedefleyen casusluk saldırılarına kötü amaçlı yazılımları dağıtmak için istismar edilen yüksek şiddetli bir krom krom sıfır gün hatası (CVE-2025-2783) düzeltti.
Aktif olarak sömürülen sıfır günleri keşfeden Kaspersky araştırmacıları, saldırganların krom sanal alan korumalarını atlamak ve hedefleri kötü amaçlı yazılımlarla enfekte etmek için CVE-2025-2783 istismarlarını kullandığını söyledi.
Geçen yıl Google, PWN2OWN Hacking Yarışması sırasında veya saldırılarda sömürülen 10 sıfır gün boyunca açıklandı.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.