Google, Chrome tarayıcısında tespit edilen ve aktif olarak istismar edilen bir güvenlik açığını kapatmak üzere önemli bir güncelleme yayınladı. Bu güncelleme, tarayıcının güvenlik koruması olan sanal alandan (sandbox) kaçışı sağlayan kritik bir sıfır gün (zero-day) açığını da içeren toplam altı güvenlik zafiyetini gideriyor.
Aktif olarak istismar edilen bu zafiyet, CVE-2025-6558 olarak tanımlanmış ve 8.8 gibi yüksek bir şiddet derecesiyle sınıflandırılmıştır. Google’ın Tehdit Analiz Grubu (TAG) araştırmacıları tarafından 23 Haziran’da keşfedilen bu açık, “ANGLE ve GPU’daki güvenilmeyen girdinin yetersiz doğrulanması” olarak açıklanmıştır. Bu zafiyet, Chrome’un 138.0.7204.157 sürümü öncesindeki tüm versiyonlarını etkilemektedir. Saldırganlar, özel olarak hazırlanmış bir HTML sayfası aracılığıyla bu zafiyeti kullanarak sanal alandan kaçış gerçekleştirebilmektedir.
ANGLE (Almost Native Graphics Layer Engine), Chrome tarafından OpenGL ES API çağrılarını Direct3D, Metal, Vulkan ve OpenGL’e çevirmek için kullanılan açık kaynaklı bir grafik soyutlama katmanıdır. WebGL gibi güvenilmeyen kaynaklardan gelen GPU komutlarını işlediği için, bu bileşendeki hataların kritik güvenlik etkileri olabilmektedir. Zafiyet, özel hazırlanmış bir HTML sayfası kullanan uzak bir saldırganın, tarayıcının GPU sürecinde rastgele kod çalıştırmasına olanak tanımaktadır. Google, bu sorunun tarayıcının sanal alanından nasıl kaçışa yol açtığına dair teknik detayları henüz paylaşmamıştır. Google, güvenlik bülteninde, “Hata detaylarına ve bağlantılara erişim, kullanıcıların büyük çoğunluğu bir düzeltmeyle güncellenene kadar kısıtlı tutulabilir” ifadesine yer vermiştir. Ayrıca, “Hata, diğer projelerin de benzer şekilde bağımlı olduğu ancak henüz düzeltmediği üçüncü taraf bir kütüphanede mevcutsa kısıtlamaları sürdüreceğiz” denilmiştir.
Chrome’un sanal alan bileşeni, tarayıcı süreçlerini temel işletim sisteminden izole eden kritik bir güvenlik mekanizmasıdır. Bu sayede kötü amaçlı yazılımların web tarayıcısından cihaza yayılması engellenir. CVE-2025-6558‘in yüksek riski ve aktif olarak istismar edilmesi nedeniyle, Chrome kullanıcılarının işletim sistemlerine bağlı olarak en kısa sürede 138.0.7204.157 veya 138.0.7204.158 sürümüne güncellemeleri şiddetle tavsiye edilmektedir. Güncellemeyi yapmak için kullanıcılar, Chrome ayarlarından “Yardım” bölümüne giderek güncellemeyi kontrol edebilir ve tarayıcıyı yeniden başlattıktan sonra güncellemeyi uygulayabilirler.
Güncel Chrome güvenlik güncellemesi, V8 motorunda yüksek şiddetli bir zafiyet olan CVE-2025-7656 ve WebRTC’de bir “use-after-free” sorunu olan CVE-2025-7657 de dahil olmak üzere beş ek güvenlik açığına yönelik düzeltmeler içermektedir. Bu beş zafiyetin hiçbiri aktif olarak istismar edilmiş olarak belirtilmemiştir.
CVE-2025-6558, bu yılın başından bu yana Chrome tarayıcısında keşfedilen ve düzeltilen beşinci aktif olarak istismar edilen güvenlik açığıdır. Mart ayında Google, Kaspersky araştırmacıları tarafından keşfedilen ve Rus hükümet kurumları ile medya kuruluşlarına yönelik hedefli casusluk saldırılarında kötü amaçlı yazılım dağıtmak için kullanılan yüksek şiddetli bir sanal alandan kaçış zafiyeti olan CVE-2025-2783‘ü yamalamıştı. İki ay sonra, Mayıs ayında Google, saldırganların kullanıcı hesaplarını ele geçirmesine olanak tanıyan Chrome’daki bir sıfır gün zafiyeti olan CVE-2025-4664‘ü düzeltmek için başka bir güncelleme yayınladı. Haziran ayında şirket, Google TAG’den Benoît Sevens ve Clément Lecigne tarafından bildirilen, Chrome’un V8 JavaScript motorundaki bir sınır dışı okuma/yazma zafiyeti olan CVE-2025-5419 adlı başka bir ciddi sorunu ele aldı. Bu ayın başlarında ise Google, GTAG araştırmacıları tarafından keşfedilen ve yine V8 motorunda bulunan dördüncü sıfır gün zafiyeti olan CVE-2025-6554‘ü düzeltti.
