Yüksek şiddetli bir Google Chrome Zero-Day güvenlik açığı için bir kavram kanıtı, kusurun ilk açıklanmasından üç aydan kısa bir süre sonra, aktif vasıtalık sömürü raporları arasında kamuya açıklandı.
CVE-2025-5419 olarak izlenen güvenlik açığı, Chrome’un V8 JavaScript motorunda 137.0.7151.68’den önceki sürümleri etkileyen ve hazırlanmış HTML sayfaları aracılığıyla potansiyel yığın yolsuzluk saldırılarına kapıyı açan sınır dışı okumalardan kaynaklanmaktadır.
Güvenlik araştırmacıları ilk olarak CVE-2025-5419’u Haziran ayı başlarında Ulusal Güvenlik Açığı Veritabanının (NVD) 3 Haziran’da ayrıntılar yayınladığı ve GitHub Danışma Veritabanının aynı gün danışmanlığı yansıttığını belgeledi.
Chrome güvenlik ekibi, Chromium’un iç sınıflandırması altında kusuru “yüksek” şiddet olarak derecelendirdi. Google, 24 Haziran’da geçici bir kararlı kanal güncellemesi yayınladı, ancak hangi kesin sürümlerin düzeltmeyi içerdiğini veya kamu yamasının resmi bir Chrome sürüm zaman çizelgesine girilmediğini henüz açıklamadı.
CVSS V3.1 puanlama sistemi altında, CVE-2025-5419 7.5/10 baz puanı alır. Saldırı vektörü ağ tabanlıdır, saldırgandan ayrıcalık gerektirmez, ancak bir miktar kullanıcı etkileşimi gerektirir-tipik olarak kötü niyetli bir web sayfasını ziyaret etme hedefini ikna eder.
Kusurun düşük saldırı karmaşıklığı ve sıfır gerekli ayrıcalıklar, onu saldırganlar için özellikle cazip hale getiriyor. Sömürü, tarayıcı işleminin tamamen uzlaşmasına yol açabilir, gizliliği, bütünlüğünü ve kullanıcı verilerinin kullanılabilirliğini tehdit edebilir.
Github’daki belgeler, güvenlik açığının iki özel ortak zayıflık sayımı (CWE-125 (sınır dışı okunan) ve CWE-787 (sınır dışı yazma)-her ikisi de yığın yolsuzluğunu kolaylaştırdığını göstermektedir.
Sözden istismar edildiğinde, saldırganlar, uzlaşılmış krom sürecinin ayrıcalıkları altında keyfi kod uygulayabilir ve potansiyel olarak OS artışlarını veya kalıcılık mekanizmalarını barındırmaya yönelirler.
Güvenlik istihbarat firması MistyMntncop, güvenlik açığını tetiklemek için adım adım talimatların yanı sıra GitHub’da çalışan bir POC istismarını yayınladığında CVE-2025-5419 çevresindeki aciliyet yoğunlaştı.
İstismar, iyi huylu bir HTML sayfasında ne kadar küçük değişikliklerin V8’deki bellek bozulması kalıplarını tetikleyebileceğini ve sonunda keyfi kod yürütülmesine yol açabileceğini gösteriyor. POC’nin halkın kullanılabilirliği, meraklı herhangi bir aktörün kusuru yeniden üretebileceği, uyarlayabileceği ve silahlandırabileceği anlamına gelir.
Microsoft’un Güvenlik Müdahale Merkezi ayrıca CVE-2025-5419’u güvenlik açığı kılavuzunda kataloglar, kurumsal yöneticileri Chrome çalıştıran Windows cihazlarının tamamen yamalanana kadar risk altında kaldığı konusunda uyarıyor.
Azaltma tavsiyesinin yayınlanmasına rağmen, JavaScript’i devre dışı bırakmanın veya her ikisi de tarayıcı işlevselliğini önemli ölçüde bozan Chrome’un gelişmiş sanal alan bayraklarını kullanmanın ötesinde resmi bir çözüm yoktur.
Google henüz kesin bir yama sürümünü adlandırmadı ve kuruluşları ortamlarının korunup korunmadığını belirlemek için uğraşıyor.
Yöneticiler, yeni kararlı sürümler kullanılabilir olur olmaz krom güncellemelerini dağıtmaları, anormal HTML yükleri için ağ trafiğini izlemeleri ve maruz kalmayı sınırlamak için tarayıcı izolasyon çözümlerini kullanmayı düşünmeleri istenir.
Resmi bir yama versiyonu belgelenene kadar, uyanıklık ve hızlı tepki bu tehlikeli sıfır güne karşı birincil savunmalar olmaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!