Google Chrome'da tehlikeli bir sıfır gün güvenlik açığı mevcut; kullanıcılar bunun farkında olmalı.

Google, Chrome tarayıcısındaki iki kritik güvenlik açığını gidermek için acil bir güncelleme yayınladı. Bu açıklardan biri, bilgisayar korsanları tarafından aktif olarak istismar edilen sıfır gün açığıdır.

Siber güvenlik uzmanları, dünya çapında milyarlarca kullanıcının oturum belirteçleri, çerezler ve giriş bilgileri de dahil olmak üzere hassas verilerin sızdırılması riski altında olabileceği konusunda uyarıyor.

İki ciddi güvenlik açığı: Gerçek istismar ve veri sızıntısı.

CVE-2025-5419 olarak tanımlanan ilk güvenlik açığı, Chrome'un JavaScript ve WebAssembly işlemcisi olan V8 Motorunda ortaya çıktı.

Google'dan yapılan resmi açıklamaya göre, bu güvenlik açığı saldırganların ayrılan bellek alanının ötesinde okuma ve yazma işlemleri gerçekleştirmesine olanak tanıyarak uzaktan kod yürütülmesinin önünü açıyor.

Aslında, saldırganlar, söz konusu güvenlik açığını içeren bir web sitesine erişerek tarayıcılarının veya cihazlarının kontrolünü ele geçirebilirler. Google, bu güvenlik açığının kamuoyuna açıklanmadan önce istismar edildiğini doğruladı ve bu da onu bu yılın ilk yarısındaki en endişe verici siber güvenlik tehditlerinden biri haline getirdi.

İkinci güvenlik açığı olan CVE-2025-4664 , tarayıcıların yardımcı kaynakları yüklerken HTTP başlıklarını ve yönlendirme politikasını nasıl ele aldığıyla ilgilidir. Araştırmacılara göre, bilgisayar korsanları bu zafiyetten yararlanarak URL'ler aracılığıyla OAuth erişim belirteçleri, oturum kimlikleri ve özel veriler içeren parametreler de dahil olmak üzere hassas bilgileri toplayabilirler.

Daha da tehlikelisi, bu saldırı mekanizması sessizce gerçekleşebilir ve kullanıcının kötü amaçlı yazılımla enfekte olmuş bir web sitesine erişmekten başka hiçbir işlem yapmasını gerektirmez.

Küresel alarm ve Google'ın yanıtı

Güvenlik açıkları keşfedildikten hemen sonra Google, ilgili güvenlik güncellemelerini yayınladı: CVE-2025-5419 açığını yamalamak için Windows, Linux ve macOS için 137.0.7151.68/.69 sürümü ve CVE-2025-4664 açığını düzeltmek için 136.0.7103.113/.114 sürümü.

ABD'nin CISA'sı ve Hindistan'ın CERT-In'i gibi siber güvenlik kuruluşları, kullanıcıları ve kuruluşları devam eden saldırıların kurbanı olmamak için Chrome tarayıcılarını derhal güncellemeleri konusunda acil uyarılar yayınladı.

Bireysel kullanıcılar ve işletmeler için riskler

Güvenlik uzmanları, her iki güvenlik açığının da kişisel bilgilerin çalınması, tarayıcıların kontrolünün ele geçirilmesi ve hatta kötü amaçlı yazılım yükleme, casusluk veya fidye yazılımı şifrelemesi gibi daha büyük ölçekli saldırıların önünün açılması için kullanılabileceğine inanıyor.

Güvenlik açıklarından yararlanma süresinin, bilgi yayınlandıktan sonra günlerden saatlere kadar kısalmasıyla birlikte, zamanında yapılan yazılım güncellemeleri hayati önem taşıyor.

Dahası, güvenlik açığı keşfedildikten hemen sonra istismar edildiği için, saldırganlar saatler içinde kötü amaçlı yazılım yayabiliyor ve bu da güncelleme yapmaya vakit bulamamış sistemler üzerinde muazzam bir baskı oluşturuyor.

Verilerin korunması ve önlenmesi yolları

Bireysel kullanıcılar için öneri, yardım menüsündeki "Google Chrome Hakkında" bölümüne erişerek sürümü kontrol etmek ve tarayıcıyı hemen güncellemek (Menü > Yardım > Google Chrome Hakkında) şeklindedir. Güncelleme işleminden sonra, yamanın uygulanmasını sağlamak için tarayıcıyı yeniden başlatmanız gerekir.

Aynı zamanda, kullanıcılar özellikle e-postalardan, sosyal medyadan veya güvenilmez web sitelerinden gelen şüpheli bağlantılara tıklamaktan kaçınmalıdır.

Riskleri en aza indirmek için güvenlik yazılımları, URL filtreleri veya diğer güvenli tarama araçlarının kullanılması da önerilir.

Ağlarındaki tüm cihazlara otomatik Chrome güncellemeleri dağıtması, ağ erişim etkinliğini izleyerek anormallikleri tespit etmesi ve potansiyel veri sızıntıları konusunda çalışanları dahili olarak uyarması gereken işletmeler ve kuruluşlar için.

Wazuh gibi otomatik güvenlik izleme araçları veya sanal ortam çözümleri, güvenlik açıklarından yararlanmak için kullanılan saldırıları tespit etmek amacıyla da kullanılabilir.