Yeni Güvenlik Açıkları ve Önemi
Bu hafta, otomatik bir AI ajanı tarafından tespit edilen 21 daha önce bilinmeyen güvenlik açığı, FFmpeg medya kütüphanesinde ortaya çıktı. Aynı dönemde, Google’ın Chrome tarayıcısı 429 güvenlik hatasını içeren büyük bir güncelleme yayımlayarak dikkatleri üzerine çekti.
Güvenlik Açıkları ve CVE Kodları
Yalnızca FFmpeg hataları AI tarafından tespit edilirken, Chrome’daki güvenlik açıklarının çoğu geleneksel yöntemlerle ortaya çıkarıldı. FFmpeg üzerinde yapılan çalışmalarda, aşağıdaki CVE kodlarına sahip güvenlik açıkları tespit edildi:
- CVE-2026-39210
- CVE-2026-39211
- CVE-2026-39212
- CVE-2026-39213
- CVE-2026-39214
- CVE-2026-39215
- CVE-2026-39216
- CVE-2026-39217
- CVE-2026-39218
Çoğu güvenlik açığı, yığın ve yığın taşmalarına sebep olan parçalayıcı ve demuksörlerde bulunmuştur. Alınan veriler, bazı açıkların 15 ila 20 yıl süresince var olduğu ve bazılarının ise 2003 yılına kadar uzandığını göstermektedir.
Chrome’un Geliştirmeleri ve Güvenlik Açıkları
Ayrıca, Chrome 149 versiyonu 429 güvenlik açığı içermektedir. İçerdiği hatalardan:
- 100’den fazla kritik veya yüksek öneme sahip güvenlik açığı
- CVE-2026-10881 (CVSS 9.6): Olayın en kötü senaryosu olarak kabul edilen dışarıdan okuma ve yazma hatasıdır.
Bu sürümdeki yüksek önemdeki açıkların çoğu, Google’ın kendi araştırmacıları tarafından tespit edilmiştir. Ancak, AI ile ilişkisi yalnızca daha fazla sayıda rapor üretilmesinde görülmektedir.
Çözüm ve Korunma
FFmpeg kullanıcılarının, sorunun düzeltildiği güncellenmiş yerel yapıyı veya dağıtımlarının güvenlik güncellemelerini hemen uygulamaları gerekmektedir. Özellikle, güvenilmeyen RTSP veya AV1 üzerinden RTP ile bağlantı kuran tüm sistemlerin güncellenmesi önemlidir.
Chrome kullanıcıları ise, 149.0.7827.53 versiyonuna güncellemeli veya otomatik güncellemelerin çalıştığını doğrulamalıdır.
Aksiyon: Ne Yapmalıyız?
Sonuç olarak, çoğu güvenlik açığının hızla ortaya çıktığı bu dönemde, yazılımlardaki güncellemeler için daha kısa döngüler benimsenmelidir. Kullanıcılar:
- Yazılımlarını düzenli olarak güncellemelidir.
- Güvenlik düzeltmelerini içeren bağımlılık yüklemelerini güvenlik çalışması olarak değerlendirmelidir.
Unutulmamalıdır ki, bu tür güvenlik açıklarının tespiti artık daha ucuz hale gelse de, bunların sıralanması, düzeltilmesi ve kurulumu hala önemli bir yük taşımaktadır.
