.webp?w=696&resize=696,0&ssl=1 "Ücretsiz güvenlik açığından sonra krom kullanımı")
Google, saldırganların tehlikeye atılmış sistemlerde keyfi kod yürütmesine izin verebilecek Angle Grafik Kütüphanesi’nde kroki olmayan bir güvenlik açığını (CVE-2025-9478) ele almak için Chrome için acil durum güvenlik güncellemesi yayınladı.
Güvenlik açığı, Windows, Mac ve Linux platformlarında 139.0.7258.154/.155’ten önce krom sürümlerini etkiler.
Güvenlik kusuru, 11 Ağustos 2025’te Google’ın Büyük Uyku AI-Powered Güvenlik Açığı Araştırma Ekibi tarafından keşfedildi ve en yüksek CVSS şiddet derecesi verildi.
Key Takeaways
1. Chrome 139.0.7258.154/.155 patches critical ANGLE UAF.
2. Impacts GPU rendering on Windows, Mac & Linux.
3. Update now; use EDR, isolation & CSP to block exploits.
26 Ağustos 2025’te piyasaya sürülen Chrome’un kararlı kanal güncellemesi, bu kritik bellek bozulması sorununu küresel olarak yayınlanarak otomatik güncellemelerle ele alıyor.
Kritik krom açı güvenlik açığı
Güvenlik açığı, OpenGL ES API çağrılarını Direct3D, Vulkan ve Native OpenGL dahil donanıma özgü grafik API’larına çeviren Chrome’un Angle (neredeyse yerel grafik katman motoru) kütüphanesinde bulunur.
Bir program, bellek dağıtıldıktan sonra bir bellek işaretçisi kullanmaya devam ettiğinde, yığın manipülasyonu ve bellek yolsuzluk saldırıları için fırsatlar yarattığında ortaya çıkar.
Bu özel durumda, Angle’ın bellek yönetimi rutinlerindeki kusur, uygunsuz bellek giderme dizilerini tetikleyen kötü niyetli hazırlanmış web içeriği ile kullanılabilir.
Başarılı sömürü, saldırganların krom oluşturucu sürecinin ayrıcalıkları ile keyfi kod yürütülmesine izin vererek potansiyel olarak sanal alan kaçışına ve tam sistem uzlaşmasına yol açacaktır.
Güvenlik açığı, özellikle WebGL oluşturma, HTML5 tuval işlemleri ve GPU-hızlandırılmış grafik işleme kullanan Web uygulamaları üzerindeki yaygın kullanımı nedeniyle özellikle ilgilidir.
Saldırganlar, bu bellek yolsuzluk kusurunu hedefleyen istismar yükleri sunmak için sürüşle indirme saldırılarından, kötü niyetli reklamlardan veya tehlikeye atılan web sitelerinden yararlanabilir.
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | Windows, Mac, Linux’ta Chrome Desktop (≤ 139.0.7258.153) |
| Darbe | Keyfi kod yürütme |
| Önkoşuldan istismar | Kullanıcı, GPU hızlanmasıyla kötü niyetli web içeriğini açar |
| CVSS 3.1 puanı | 9.8 (kritik) |
Hafifletme
Organizasyonlar, sömürü risklerini azaltmak için Chrome sürümünün 139.0.7258.154 veya üst kısmının derhal konuşlandırılmasına öncelik vermelidir.
Güncelleme, açı kütüphanesinin bellek yönetimi işlevleri için kapsamlı yamalar ve benzersiz kullanım koşullarını önlemek için geliştirilmiş yığın koruma mekanizmaları içerir.
Güvenlik ekipleri, potansiyel sömürü girişimlerini tespit etmek için uygulama izin verme, ağ segmentasyonu ve uç nokta algılama ve yanıt (EDR) çözümlerini uygulamalıdır.
Ayrıca, kuruluşlar bu güvenlik açığı sınıfını hedefleyen web tabanlı istismarlar için saldırı yüzeyini sınırlamak için İçerik Güvenlik Politikası (CSP) başlıkları ve tarayıcı izolasyon teknolojilerini dağıtmayı düşünmelidir.
Bu kusurun kritik doğası ve sıfır gün sömürü potansiyeli göz önüne alındığında, güvenlik uzmanları olağandışı ağ trafik modellerini, beklenmedik süreç yumurtlamalarını ve eşleştirilmemiş krom kurulumlarına karşı aktif sömürü girişimlerini gösterebilecek anormal bellek tahsisi davranışlarını izlemelidir.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.