Google Chrome Güvenlik Açıkları CVE-2025-0434 .... CVE-2025-0438

 Google Chrome Güvenlik Açıkları

Google Chrome, yakın zamanda 132.0.6834.83 sürümünde, uzak saldırganların hazırlanmış HTML sayfaları aracılığıyla kullanıcıları istismar etmesine olanak sağlayabilecek birkaç kritik güvenlik açığını giderdi. CVE-2025-0434 ila CVE-2025-0438 olarak tanımlanan güvenlik açıkları, Chromium güvenlik standartlarına göre yüksek önem dereceleriyle sınıflandırıldı. Aşağıda, istismar için olası senaryolar da dahil olmak üzere her güvenlik açığının ayrıntılı bir incelemesi bulunmaktadır. (15 Ocak 2025)

Ayrıntılı Güvenlik Açıkları

CVE-2025-0438: İzlemede Yığın Arabellek Taşması

Açıklama : Bu güvenlik açığı, Google Chrome'un İzleme bileşeninde bir yığın arabellek taşmasını içerir. Bir saldırganın özel olarak hazırlanmış bir HTML sayfası aracılığıyla yığın bozulmasını potansiyel olarak istismar etmesine olanak tanır.Örnek Senaryo : Bir saldırgan meşru görünen kötü amaçlı bir web sitesi oluşturur. Bir kullanıcı bu siteyi ziyaret ettiğinde, hazırlanmış HTML yığın arabellek taşmasını tetikler ve kullanıcının makinesinde keyfi kodun yürütülmesine yol açar. Bu, hassas bilgilere yetkisiz erişime veya sistemin tamamının tehlikeye atılmasına neden olabilir  .

CVE-2025-0437: Metriklerde Sınır Dışı Okuma

Açıklama : Bu güvenlik açığı, Metrikler bileşeninde sınır dışı okuma yapılmasıyla karakterize edilir ve bu durum yığın bozulmasına yol açabilir.Örnek Senaryo : Bir kullanıcı, kendisini kötü amaçlı bir web sayfasına yönlendiren bir e-postadaki bağlantıya tıklar. Sayfa, sınır dışı okuma güvenlik açığını istismar ederek saldırganın erişilememesi gereken bellekten hassas verileri okumasına olanak tanır ve potansiyel olarak kullanıcı kimlik bilgilerini veya diğer özel bilgileri ifşa eder  .

CVE-2025-0436: Skia'da Tamsayı Taşması

Açıklama : Bu tamsayı taşması güvenlik açığı Skia'da, Chrome'un grafik motorunda mevcuttur ve yığın bozulması için kullanılabilir.Örnek Senaryo : Bir saldırgan, bir web sayfasına kötü amaçlı bir resim veya grafik yerleştirebilir. Kullanıcı bu sayfayı açtığında, işleme süreci sırasında tamsayı taşması meydana gelir ve bu da yığın bozulmasına yol açar. Bu, saldırganların keyfi kod yürütmesine veya tarayıcıyı çökertmesine izin verebilir  .

CVE-2025-0435: Gezinmede Uygunsuz Uygulama

Açıklama : Bu güvenlik açığı, Android cihazlarda Navigasyon'da uygunsuz bir uygulamadan kaynaklanmaktadır ve bu da kullanıcı arayüzü sahteciliğine olanak tanımaktadır.Örnek Senaryo : Bir saldırgan, meşru bir bankacılık sitesini yakından taklit eden bir web sayfası oluşturur. Kullanıcılar bu sahte arayüzde kimlik bilgilerini girmeye kandırıldığında, hassas bilgileri güvenli bir şekilde işlenmek yerine doğrudan saldırgana gönderilir  .

CVE-2025-0434: V8'de Sınır Dışı Bellek Erişimi

Açıklama : Bu güvenlik açığı, Chrome'un JavaScript motoru olan V8'de sınır dışı bellek erişimini içeriyor ve bu da uzaktan kod yürütülmesine izin verebilir.Örnek Senaryo : Bir saldırgan, tarayıcı içinde yürütüldüğünde bu bellek erişim açığını istismar eden bir betik oluşturabilir. Bu betiği bir kurbanın makinesinde çalıştırarak, sistem kaynakları üzerinde kontrol elde edebilir veya kullanıcı onayı olmadan daha fazla kötü amaçlı yük çalıştırabilir  .

Çözüm

Google Chrome 132.0.6834.83 sürümünde tanımlanan güvenlik açıkları, web taramayla ilişkili önemli riskleri ve güncel yazılımların bakımının önemini vurgular. Kullanıcılara bu riskleri azaltmak ve olası istismarlara karşı korunmak için tarayıcılarını derhal güncellemeleri şiddetle tavsiye edilir. Google, bu güvenlik açıklarını kabul etti ve keşifleri için harici araştırmacılara kredi vererek tarayıcı güvenliğini artırmaya yönelik devam eden çabaları sergiledi  .Kullanıcılar bu güvenlik açıklarını ve bunların potansiyel etkilerini anlayarak çevrimiçi etkinliklerini ve kişisel bilgilerini kötü amaçlı saldırılara karşı daha iyi koruyabilirler.