Google, popüler web tarayıcısı Chrome için kritik bir güvenlik açığını kapatmak amacıyla plan dışı bir güncelleme yayımladı. 3 Haziran 2025 tarihinde duyurulan bu güncelleme, özellikle siber saldırganlar tarafından aktif olarak istismar edilen ciddi bir güvenlik zafiyetini hedef alıyor.
CVE-2025-5419: Chrome’da Tehlikeli Bir Zafiyet
Söz konusu güvenlik açığı, CVE-2025-5419 koduyla takip ediliyor ve 8.8 CVSS skoru ile yüksek önem derecesine sahip. Zafiyet, Chrome’un V8 JavaScript ve WebAssembly motorunda yer alıyor. Uzmanlar, bu açığın “bellek sınırları dışında okuma ve yazma” hatasından kaynaklandığını belirtiyor.
ABD Ulusal Güvenlik Açıkları Veritabanı (NVD) tarafından yayımlanan teknik analizde, açık sayesinde saldırganların, özel olarak hazırlanmış bir HTML sayfası üzerinden hedef sistemlerde bellek bozulmasına neden olarak uzaktan kod çalıştırabildiği ifade edildi.
Açığı Google’ın Tehdit Analiz Grubu Ortaya Çıkardı
Güvenlik zafiyeti, Google Tehdit Analiz Grubu’ndan Clément Lecigne ve Benoît Sevens tarafından 27 Mayıs 2025 tarihinde tespit edildi. Google, açığın keşfedilmesinin hemen ardından acil bir yapılandırma güncellemesi ile sorunu giderdiğini açıkladı.
Şirket, şu ana kadar açığın hangi saldırgan gruplar tarafından kullanıldığına veya hedef alınan sistemlerin detaylarına ilişkin bilgi paylaşmadı. Bu yaklaşım, genellikle güvenlik yamalarının geniş çapta uygulanmasından önce kötü niyetli kişilerin açıklardan faydalanmasını engellemek amacıyla tercih ediliyor.
Google, yaptığı açıklamada şu ifadeye yer verdi:
“Google, CVE-2025-5419 için bir istismarın dolaşımda olduğunun farkındadır.”
2025’teki İkinci Sıfır Gün Açığı
CVE-2025-5419, Google’ın 2025 yılında kapattığı ikinci sıfır gün (zero-day) açığı olarak kayıtlara geçti. İlk açık, CVE-2025-2783 koduyla tanınmış ve Kaspersky tarafından Rusya’daki kuruluşlara yönelik saldırılar sırasında tespit edilmişti.
Sıfır gün açığı, bir yazılımda veya sistemde bulunan, henüz üretici firma tarafından düzeltilmemiş veya fark edilmemiş güvenlik zaafiyetlerine verilen genel isimdir. Bu tür açıklar, tespit edildikleri anda kötü amaçlı yazılımlar tarafından istismar edilebilir.
Hangi Chrome Sürümlerine Güncelleme Yapılmalı?
Google, kullanıcıların güvenlik riskiyle karşı karşıya kalmamaları için Chrome tarayıcılarını en son sürüme güncellemeleri gerektiğini vurguladı. Güvenlik açığının kapatıldığı sürümler şu şekilde:
Windows ve macOS: 137.0.7151.68 veya 137.0.7151.69
Linux: 137.0.7151.68
Chromium Tabanlı Tarayıcılar da Risk Altında
CVE-2025-5419 sadece Google Chrome’u değil, aynı motoru kullanan diğer tarayıcıları da etkileyebilir. Bu nedenle kullanıcıların Microsoft Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tarayıcılarını da güncel tutmaları öneriliyor. Tarayıcı geliştiricilerinin yayımlayacağı güvenlik yamalarının derhal uygulanması, veri güvenliği açısından büyük önem taşıyor.
