Chrome Tarafından Keşfedilen Yüksek Şiddetteki Güvenlik Açığı
Son günlerde Google Chrome tarayıcısında keşfedilen bir güvenlik açığı, özellikle federal kurumları endişelendiriyor. CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı), söz konusu açığın kötü niyetli kişiler tarafından kullanabileceği konusunda uyarıda bulundu. Güvenlik araştırmacısı Vsevolod Kokorin, bu açığın 5 Mayıs’ta yayımlanan teknik detayları ile birlikte dikkatleri üzerine çekti. Açık, CVE-2025-4664 olarak tanımlandı ve Google, bu açığı gidermek için güvenlik güncellemelerini 7 Mayıs’ta sundu.
CVE-2025-4664 Açığının Niteliği
CVE-2025-4664 açığı, Google Chrome’un Loader bileşeni içindeki yetersiz politika uygulamasından kaynaklanıyor. Kötü niyetli kişiler bu açığı kötüye kullanarak, zararlı yapılandırılmış HTML sayfaları aracılığıyla çapraz kaynak verilerini sızdırabilir. Kokorin, bu açığın teknik detaylarını paylaşarak, Chrome’un Link başlığı ile subresource taleplerini çözümlediğini ve referrer politikası ayarlanmasının bu açığın sömürülmesine olanak sağladığını belirtti.
Kokorin, "Sorgu parametreleri hassas veriler içerebilir. Örneğin, OAuth akışlarında bu durum Hesap Ele Geçirme ile sonuçlanabilir. Geliştiriciler, genellikle bir üçüncü taraf kaynağından bir görüntü aracılığıyla sorgu parametrelerinin çalınma olasılığını dikkate almaz," diye ekledi.
CISA’nın Uyarıları ve Federal Ajanslar İçin Gereksinimler
Google, güvenlik açığının önceki kötüye kullanımlarını ve halen istismar edilip edilmediğini açıklamamakla birlikte, kamuya açık bir istismar bulunduğu konusunda bir güvenlik bildirimi yayımladı. CISA, açığı bir gün sonra doğrulayarak, bunun bilinçli olarak kötüye kullanıldığını ve açıkları kötüye kullanılanlar kataloğuna dahil etti.
Kasım 2021’de belirlenen Bağlayıcı Operasyonel Yönerge (BOD) 22-01 gereğince, ABD Federal Sivil İcra Dairesi (FCEB) kuruluşlarının, sistemlerini korumak amacıyla Chrome kurulumlarını 7 Mayıs’a kadar güncellemeleri gerekiyor. Bu direktif federal ajansları kapsasa da, tüm ağ savunucularının bu açığı en kısa sürede yamalamaları öneriliyor.
CISA, "Bu tür açıklar, kötü niyetli siber aktörler için sıkça kullanılan saldırı vektörleridir ve federal kurumlar için önemli riskler taşımaktadır," uyarısında bulundu.
Chrome’un Temizlenemeyen Açıkları ve Siber Tehditler
Bu yıl Google tarafından yamalanan ikinci aktif olarak istismar edilen Chrome sıfır gün açığıdır. Daha önce yüksek şiddetteki başka bir Chrome sıfır gün açığı olan CVE-2025-2783, Rus hükümet organizasyonları, medya kuruluşları ve eğitim kurumlarını hedef alan siber casusluk saldırılarında kullanılmıştır. Kaspersky araştırmacıları, bu sıfır gün saldırılarını tespit etti ve tehdit aktörlerinin CVE-2025-2783 istismarlarını kullanarak Google Chrome’un sandbox korumalarını aşmayı başardıklarını bildirdi.
Bu tür güvenlik açıkları sadece federal kurumları değil, aynı zamanda tüm internet kullanıcılarını da doğrudan etkiliyor. Kötü niyetli aktörler, bu tür açıkları kullanarak çeşitli saldırılar planlamakta ve kullanıcıların kişisel verilerini tehlikeye atabilmektedir.
Ağ Savunuculuğu ve Yazılım Güncellemelerinin Rolü
Tüm bu yaşanan gelişmeler, yazılım güncellemelerinin ve ağ savunuculuğunun ne denli önemli olduğunu bir kez daha gözler önüne seriyor. Federal ajansların yanı sıra, tüm kuruluşların ve bireylerin bu tür açıkları göz önünde bulundurup yazılım güncellemelerini zamanında yapmaları gerekiyor.
Kullanıcıların ve geliştiricilerin güvenlik açıklarını dikkate alarak tedbir almaları, yalnızca kendi güvenlikleri için değil, aynı zamanda genel ağ güvenliği için de kritik bir öneme sahiptir. Siber güvenlikte proaktif bir yaklaşım benimsemek, olası tehditleri minimize ederek tüm sistemin sağlıklı bir şekilde çalışmasına katkı sağlar.
Gelecekte yenilikler ve güncellemeler ortaya çıktıkça, organizasyonların sürekli olarak eğitim alması ve güvenlik standartlarını güncel tutması gerekmektedir. Eğitimli kullanıcılar, daha fazla güvenliği sağlar ve siber tehditleri etkili bir şekilde önleme kabiliyetine sahip olurlar.
Bu süreçte, kamu ve özel sektör iş birliği de büyük bir anlam kazanıyor. Güvenlik açıklarının hızla tespit edilip kapatılması, fakat bunların yanı sıra kullanıcıların siber farkındalıklarının artırılması kaçınılmaz bir zorunluluktur.
