Chrome’da kritik sıfır gün açığı: Google acil güncelleme yayınladı

Google, 2026 yılının birinci sıfır gün (zero-day) açığı olarak kayda geçen eleştirel tek güvenlik sualnunu gidermek üzere Chrome tarayıcısı için ivedi tek güncelleme yayınladı. CVE-2026-2441 koduyla izlenen ve 10 üzerinden 8.8 CVSS puanı saha açık, halihazırda saldırganlar tarafından etkin şekilde istismar ediliyordu. Şirket, güvenlik açığının kamuya duyurulmasından kısa süre sonraları yamayı kullanıma sunduğunu açıkladı. Güvenlik bülteninde, söz başlıksu açığın gerçek dünyada kötüye kullanıldığı doğrulanırken, saldırıların içerikına ilişkin ayrıntı paylaşılmadı.

Açığın kaynağında, Chrome’un CSS işleme mekanizmasında bulunan tek “use-after-free” hafıza yanlışsı mekan alıyor. Bu tür güvenlik açıkları, serbest bırakılmış belleğe yeniden erişim sağlanmasına imkân tanıyarak kötü amaçlı şifre çalıştırılmasına temel hazırlayabiliyor. Her ne kadar Chrome’un sandbox mimarisi ilave tek güvenlik katmanı sunsa da, özel olarak hazırlanmış tek HTML sayfası üzerinden tarayıcı içinde rastgele şifre yürütülebilmesi riski söz başlıksu. Buna rağmen Google, açığın tarayıcı sandbox’ı dışına taşarak sistemleri genelinde ytesir kazanıp kazanmadığına ilişkin teknikleri ayrıntı paylaşmadı.

Google Chrome CVE-2026-2441 açığı ve yayınlanan güncellemeler

Google tarafından yayımlanan malumatlere göre, Windows ve macOS için Chrome 145.0.7632.75, Linux için ise 144.0.7559.75 sürümleri güvenlik düzeltmesini içeriyor. Güncellemelerin önümüzdeki günler ve haftalar içinde kademeli olarak dağıtılacağı belirtilirken, kullanıcıların manuel güncelleme kontrolü yapmaları öneriliyor. Bunun yanında, güvenlik açığının üçüncü taraf bileşenlerle ilişkili olması ihtimaline karşı teknikleri ayrıntıların geçici olarak saklı tutulduğu ifadeleri ediliyor. Bu yaklaşım, benzer açıkların hızla silahlandırılmasını manilemeye yönelik norm tek başvuru olarak biliniyor.

Söz başlıksu açık, güvenlik araştırmacısı Shaheen Fazim tarafından 11 Şubat’ta bildiri edildi. Google ise ikisi gün sonraları açığın etkin olarak istismar edildiğini doğruladı. Fakat saldırıların hedefli mi yoksa geniş çaplı tek kampanyanın parçası mı olduğu netlik kazanmış değil. Buna rağmen, güvenlik topluluğunda sıfır gün açıklarının özellikle hedefli siber casusluk faaliyetlerinde sıkça kullanıldığı biliniyor.

Google’ın oğullar yıllarda Chrome’daki güvenlik açıklarıyla yoğun biçimde mücadele ettiği görülüyor. Şirket, 2025 yılı boyunca olan 8 ayrı sıfır gün açığını yamalamıştı. Bunun yanı sıra, kısa süre önce asgari 287 Chrome uzantısının kullanıcıların tarama geçmişini üçüncü taraflara aktardığının ortaya çıkması, tarayıcı ekosistemindeki risklerin yalnızca çekirdek yazılımla sınırlı olmadığını gösterdi. Bu durum, kullanıcı güvenliğinin yalnızca güncellemelerle değil, aynı zamanda uzantı seçiminde titiz olunmasıyla da doğrudan bağlantılı olduğunu ortaya koyuyor.

Tüm bunlara ilave olarak, sıfır gün açıklarının hızlı biçimde belirleme edilip kapatılması, tarayıcı güvenliğinde eleştirel görev oynuyor. Yine de, saldırganların yepyeni zafiyetler bulma başlıksunda sürekli çaba gösterdiği biliniyor. Bu nedenle güvenlik uzmanları, otomatik güncellemelerin tesirn tutulmasını, bilinmeyenler bağlantılara karşı temkinli olunmasını ve lüzumsiz uzantıların kaldırılmasını öneriyor. Chrome’un geniş kullanıcı tabanı göz önünde bulundurulduğunda, benzer açıkların tesirsi küresel ölçekte hissedilebiliyor. Bu tablo, düzenli yazılım güncellemelerinin sayısal güvenliğin ilköğretim unsurlarından arasında biri olmaya devam ettiğini gösteriyor.

Teknoblog, teknolojiler gündemini farklı platformlarda düzenli biçimde paylaşıyor. WhatsApp kanalında öne çıkan haberleri anlık olarak aktarıyor, Google Haberler üzerinden güncel içerikleri sunuyor, Instagram ve X hesaplarında ilgi çeken başlıkları özetliyor, YouTube kanalında ise ürün ttesirkleri ve detaylı anlatımlarla içeriği tamamlıyor.