Google, Chrome tarayıcısında aktif olarak istismar edilen bir güvenlik açığını düzelten acil bir güncelleme yayınladı. CVE-2026-11645 olarak izlenen bu yüksek önem dereceli güvenlik açığı, V8 JavaScript motorundaki bir sınır dışı okuma ve yazma hatasından kaynaklanıyor. Bu hata, saldırganların özel hazırlanmış bir HTML sayfası aracılığıyla tarayıcı sandbox'ı içinde uzaktan kod çalıştırmasına olanak tanıyor. Google, bu açığın vahşi ortamda istismar edildiğini doğruladı ancak teknik detayları henüz paylaşmadı.
Bu güncelleme, 2026 yılında Chrome'da keşfedilen ve yama yayınlanmadan önce istismar edilen beşinci sıfır gün açığı olarak kayıtlara geçti. Google'ın 8 Haziran'da yayınladığı güvenlik bülteni, toplamda 74 güvenlik açığını kapsıyor. Bunlardan 17'si kritik, 55'i yüksek ve 2'si orta önem derecesine sahip. Güncelleme, Windows, Mac ve Linux kullanıcıları için kademeli olarak dağıtılıyor ve tamamen yayılması birkaç gün veya hafta sürebilir.
CVE-2026-11645 açığını Google'a bildiren güvenlik araştırmacısı '303f06e3', daha önce de Chrome güvenlik açıkları bildirmişti. Google, bu bildirim için araştırmacıya 55.000 dolar ödül verdi. Açığın CVSS puanı 8.8 olarak belirlenmiş olup, yüksek önem derecesine sahip. Google, kullanıcıların büyük çoğunluğu güncellemeyi yükleyene kadar açığın detaylarını kısıtlı tutacağını belirtti. Ayrıca, başka projelerin de bağımlı olduğu üçüncü taraf kütüphanelerde bulunan hatalar için de kısıtlamaların devam edeceğini açıkladı.
Teknik Analiz
Bu güncelleme, Chrome kullanıcıları için kritik öneme sahip. Kullanıcıların Chrome tarayıcılarını en kısa sürede güncellemeleri öneriliyor. Güncelleme, tarayıcının otomatik güncelleme mekanizmasıyla veya Chrome menüsünden 'Yardım > Google Chrome Hakkında' bölümüne girerek manuel olarak kontrol edilebilir. Güncelleme sonrası tarayıcının yeniden başlatılması gerekiyor.
Gelecekte Ne Bekleniyor?
Bu güvenlik açığı, özellikle V8 motorunun karmaşık yapısından kaynaklanıyor. V8, Chrome'un JavaScript ve WebAssembly kodlarını çalıştıran motoru ve sık sık güvenlik güncellemeleri alıyor. Sınır dışı okuma/yazma hataları, bellek bozulmasına ve kod yürütmeye yol açabilir. Bu tür açıklar, özellikle hedefli saldırılarda kullanıldığında büyük risk oluşturuyor.
Google'ın bu hızlı müdahalesi, şirketin güvenlik konusundaki hassasiyetini gösteriyor. Ancak, sıfır gün açıklarının sıklığı, tarayıcı güvenliğinin sürekli bir mücadele olduğunu ortaya koyuyor. Kullanıcıların, güncellemeleri geciktirmeden yüklemeleri ve güvenlik duvarı gibi ek koruma önlemleri almaları önem taşıyor.
Kaynak: infosecurity-magazine.com