Google Chrome’un V8 JavaScript motoru, dünya çapında milyarlarca kullanıcı için uzun dengeli hız ve güvenliğe sahiptir.
16 Eylül 2025’te Google’ın Tehdit Analiz Grubu, V8’in Turbofan derleyici bileşeninde kritik bir sıfır gün kusuru keşfetti.
Şimdi CVE-2025-10585 olarak izlenen güvenlik açığı, saldırganların bir tür karışıklık koşulunu tetiklemesine, tarayıcı işleminde yozlaşmış belleği tetiklemesine ve sonuçta keyfi kod yürütmesine izin verir.
Ayrıntılı güvenlik açığı
CVE-2025-10585 Güvenlik Açığı, CVSS v3.1 standartları altında 8.8 puanları yüksek etki ve uzak saldırı vektörünü yansıtır.
| Bağlanmak | Detaylar |
| CVE tanımlayıcısı | CVE-2025-10585 |
| CVSS v3.1 puanı | 8.8 (Yüksek) |
| Etkilenen ürünler | Google Chrome <140.0.7339.185 (Windows/Linux/macOS); Krom bazlı tarayıcılar (kenar, cesur vb.) |
Windows, Linux ve macOS’ta 140.0.7339.185’in yanı sıra Microsoft Edge and Brave gibi diğer krom tabanlı tarayıcılardan önce Chrome sürümlerini etkiler.
İstismarların vahşi olduğu, devlet destekli aktörler ve ticari casus yazılım operatörleri tarafından kripto para birimi ve hassas veriler çalmak için kullanıldığı bildiriliyor.
Kötü niyetli bir web sayfasına basit bir ziyaret, kusuru tetikleyebilir ve henüz güncellenmemiş tüm kullanıcılar için riski acil hale getirebilir.
Bu sorunun merkezinde V8’in satır içi önbellek mekanizmasında bir tip karışıklık hatası var. Saldırganlar, özelliği tuzakları ilkel bir sayı yerine kayan nokta dizisi döndüren bir JavaScript proxy nesnesi oluşturur.
Motor bir döngüde tekrarlanan işlemleri optimize ettiğinde, her bir sonucun sayısal bir tür eşleştiğini varsayar. Beklenmedik dizi, satır içi önbellekleri bozar ve bellek işaretçilerini yanlış yönlendirir.
Bu manipülasyon, saldırganlara keyfi okuma ve yazma yetenekleri veren yığın taşmalarına veya kullanmadan olmayan koşullara yol açar.
Google, Chrome 140.0.7339.185’te bir yama yayınladı. Tüm kullanıcılar Chrome’u ziyaret ederek derhal güncellenmelidir: // Ayarlar/Yardım veya Tarayıcının Yerleşik Güncelleme Mekanizmasını kullanarak.
Aşağıda, V8’in Turbofan derleyicisindeki tip-konfüzyon tetikleyicisini gösteren temel kavram kanıtı JavaScript snippet ve eşlik eden sahte montaj bulunmaktadır:
// Hypothetical PoC Snippet (Adapted from Similar V8 Type Confusions)
let victim = new Proxy({}, {
get(target, prop) {
if (prop === Symbol.toPrimitive) {
// Type Mismatch: return a float array instead of a number
return () => [1.1, 2.2, 3.3];
}
return Reflect.get(...arguments);
}
});
// Optimization trigger loop
for (let i = 0; i < 10000; i++) {
let x = +victim; // ToNumber() call triggers type confusion
if (x.length) { // Numbers don’t have length; array treated as number
// Arbitrary memory read via out-of-bounds access
console.log(x[0]); // Heap address leak
}
}Ekstra bir önlem olarak kuruluşlar, güvenilmeyen komut dosyalarını engellemek ve şüpheli proxy tarzı yükler için ağ trafiğini izlemek için uç nokta koruma kurallarını uygulayabilir.
Bilinmeyen sitelerde JavaScript'in devre dışı bırakılması geçici hafifletme sağlar, ancak iyi huylu işlevselliği bozabilir.
Güvenlik ekipleri, proxy nesnelerinde tekrarlanan tonumber çağrıları için günlükleri taramalı ve satır içi önbellek kurcalama belirtileri izlemelidir.
CVE-2025-10585, performans optimizasyonları ve güvenli tarayıcı tasarımı arasındaki hassas dengeyi vurgular.
Geliştiriciler ve güvenlik uzmanları, diğer JIT motorlarında benzer tip çıkarım kodunu gözden geçirmeli ve karşılaştırılabilir kusurları tespit etmek için hedeflenen Fuzz testleri çalıştırmalıdır.
Kavram kanıtı yakında ortaya çıkması muhtemel olarak, daha fazla sömürü önlemek için yamalarla güncel kalmak ve tehdit yemlerini izlemek şarttır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X'te takip edin.