CVE-2026-11645 Chrome Güvenlik Açığı
Google, Chrome tarayıcısındaki aktif olarak istismar edilen bir başka sıfır gün güvenlik açığını gidermek için acil güvenlik güncellemeleri yayınladı. CVE-2026-11645 olarak izlenen bu açık, şirketin 2026 yılının başından bu yana yamaladığı beşinci Chrome sıfır gün güvenlik açığı olma özelliğini taşıyor.
Google'a göre, bu güvenlik açığını hedef alan bir saldırının gerçek dünyadaki saldırılarda zaten kullanıldığına dair kanıtlar mevcut. Sorun şirkete anonim olarak bildirildi ve ardından Kararlı Masaüstü kanalı üzerinden bir düzeltme yayınlandı.
Yama uygulanmış sürümler şu anda Windows (149.0.7827.102), macOS (149.0.7827.103) ve Linux (149.0.7827.102) için küresel olarak dağıtılıyor. Ancak, güncelleme işleminin tüm Chrome kullanıcılarına ulaşması birkaç gün hatta haftalar sürebilir.
Güncellemeleri manuel olarak yüklemeyenler için Chrome, bir sonraki tarayıcı başlatılışında mevcut güvenlik düzeltmelerini otomatik olarak kontrol edip uygulayacak şekilde tasarlanmıştır.
İçindekiler
CVE-2026-11645’in İç Yüzü: Tehlikeli Bir V8 Motor Hatası
Yüksek önem derecesine sahip bu güvenlik açığı, Chrome'un V8 JavaScript motorundaki sınır dışı okuma ve yazma zafiyetinden kaynaklanmaktadır. Saldırganlar, özel olarak hazırlanmış HTML sayfaları aracılığıyla bu zafiyeti istismar edebilir ve tarayıcının koruma alanı ortamında rastgele kod yürütülmesini sağlayabilirler.
Başarılı bir saldırı, bellek bozulmasına yol açarak saldırganların amaçlanan sınırların dışındaki belleğe erişmesine olanak tanır. Bu davranış, hassas bilgilerin açığa çıkmasına, tarayıcı çökmelerine veya ek kötü amaçlı faaliyetlerin kolaylaşmasına neden olabilir.
Yetkisiz bellek erişiminin ötesinde, bu güvenlik açığı, Adres Alanı Düzeni Rastgeleleştirmesi (ASLR) gibi güvenlik korumalarını atlatmak için de kullanılabilir ve diğer zayıflıklarla birleştiğinde kod yürütme olasılığını artırır.
Kullanıcıları Korumak İçin Sınırlı Bilgilendirme
Google, güvenlik açığının aktif olarak istismar edildiğini kabul etse de, saldırılarla ilgili teknik detayları henüz açıklamadı. Chrome kullanıcılarının önemli bir kısmı güvenlik güncellemesini yükleyene kadar hata bilgilerine ve ilgili kaynaklara erişim kısıtlı kalabilir.
Etkilenen kod, diğer projeler tarafından kullanılan ve henüz kendi düzeltmelerini uygulamamış üçüncü taraf kütüphanelerde yer alıyorsa, kısıtlamalar devam edebilir.
2026 Yılında Artan Sıfır Gün Açıkları Listesi
CVE-2026-11645, bu yıl aktif olarak istismar edilen diğer birçok Chrome sıfır gün açığına katılıyor:
- CVE-2026-2441 – Şubat ayında yamalanan, CSSFontFeatureValuesMap'te yineleyici geçersizleştirme güvenlik açığı.
- CVE-2026-3909 – Mart ayında istismar edilen, Skia 2D grafik kütüphanesindeki sınır dışı yazma açığı.
- CVE-2026-3910 – V8 JavaScript ve WebAssembly motorunu etkileyen, Mart ayında da istismar edilen uygunsuz uygulama güvenlik açığı.
- CVE-2026-5281 – Chromium'un platformlar arası WebGPU uygulaması Dawn'da bulunan ve Nisan ayında yamalanan, kullanım sonrası serbest bırakma (use-after-free) güvenlik açığı.
Chrome’un Sıfır Gün Açıklarına Karşı Süregelen Mücadelesi
En son acil durum güncellemesi, modern web tarayıcılarını hedef alan sıfır gün güvenlik açıklarının oluşturduğu kalıcı tehdidi vurguluyor. Google, 2025 yılı boyunca, aktif olarak kullanılan sekiz ek Chrome sıfır gün güvenlik açığını ele aldı. Bu güvenlik açıklarının birçoğu, gelişmiş siber casusluk operasyonlarını ve casus yazılım kampanyalarını izlemesiyle bilinen özel bir ekip olan Google'ın Tehdit Analiz Grubu (TAG) tarafından tespit edildi.
Aktif olarak istismar edilen güvenlik açıklarının sürekli olarak keşfedilmesi, kullanıcıları gelişen siber tehditlere karşı korumada zamanında tarayıcı güncellemelerinin ve güvenlik açıklarının hızlı bir şekilde giderilmesinin önemini vurgulamaktadır.
