Google, saldırganların savunmasız sistemlerde keyfi kod yürütmesine izin verebilecek Angle Grafik Kütüphanesi’ndeki kritik bir kullanımsız güvenlik açığını ele almak için Chrome kararlı kanal için acil bir güvenlik güncellemesi yayınladı.
Düzeltmeler, Windows ve MacOS’ta 139.0.7258.154/.155 ve Linux’ta 139.0.7258.154 krom kararlı sürümlerin bir parçası olarak gelir. Yama önümüzdeki günler ve haftalarda otomatik olarak piyasaya sürüleceğinden kullanıcıların hemen güncellenmesi tavsiye edilir.
Arka plan ve etki
CVE-2025-9478 olarak izlenen kusur, 11 Ağustos 2025’te Google Big Sleep ekibi tarafından keşfedildi. OpenGL ES çağrılarını çeşitli platformlarda yerel grafik API çağrılarına çeviren açı bileşeninde bulunuyor.
Bu güvenlik açığından yararlanan kötü niyetli bir web sitesi, serbest bırakıldıktan sonra yeniden kullanıldığı bir kullanımı tetikleyebilir.
WebGL veya tuval işlemlerini dikkatlice hazırlayarak, bir saldırgan tarayıcının belleğini bozabilir ve mevcut kullanıcının ayrıcalıklarıyla uzaktan kod yürütülebilir.
| CVE kimliği | Şiddet | Tanım | Bildirilen tarih |
| CVE-2025-9478 | Eleştirel | Kod Exec’a yol açan kullanımdan sonra | 2025-08-11 |
Angle’ın Chrome’un masaüstü ve mobil platformlardaki oluşturma boru hattındaki merkezi rolü göz önüne alındığında, sömürü sürücü bir indirme senaryosunda yazılabilir: bir kurbanın sadece tehlikeye atılmış veya kötü niyetli hazırlanmış bir web sayfasını ziyaret etmesi gerekir.
Başarılı sömürü, saldırganların kötü amaçlı yazılım yüklemelerine, veri çalmasına veya kurumsal bir ağa daha derin bir şekilde dönmelerine izin verebilir, bu da bu kusuru özellikle yüksek değerli hedefler ve kurumsal kullanıcılar için tehlikeli hale getirir.
Azaltma ve öneriler
Google’ın güvenlik ekibi, düzeltmeyi en son istikrarlı yapılarda zaten dağıttı. Büyük dağıtımları yöneten yöneticiler, 139.0.7258.154/.155 sürümünün gecikmeden itilmesini sağlamalıdır.
Sıkı değişim yönetimi prosedürlerine sahip kuruluşlar için, çevrimdışı veya aşamalı sunumları kolaylaştırmak için Chrome’un kurumsal paket ve MSI montajcıları mevcuttur.
Chrome’u güncellemenin yanı sıra, güvenlik ekipleri şunları yapmalıdır:
- Olağandışı WebGL veya Grafik API çağrı kalıpları için proxy ve uç nokta günlüklerini izleyin.
- Meydan okulu bir tarayıcı sürecinin etkisini sınırlamak için en az ayrıcalık ilkesini zorlayın.
- Kullanıcıları, özellikle WebGL içeriğini barındıran güvensiz web sitelerini ziyaret etmenin tehlikeleri konusunda eğitin.
Google, harici olarak bildirilen hatalar için ödüller sunarak işbirlikçi keşfini desteklemeye devam ediyor.
CVE-2025-9478’in detayları, kullanıcıların çoğunluğu düzeltmeyi alana kadar kısıtlanmış olsa da, dış araştırmacının onaylanması, açık kaynaklı projeleri güvence altına almada kamu-özel ortaklıklarının değerini vurgulamaktadır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!