Dünyanın en yaygın kullanılan internet tarayıcılarından biri olan Google Chrome, ciddi bir güvenlik tehdidiyle gündeme geldi. Google, tarayıcıda bulunan iki kritik zero-day güvenlik açığının aktif olarak saldırganlar tarafından kullanıldığını doğruladı.
Şirket bu nedenle acil güvenlik güncellemesi yayınladı ve kullanıcıların tarayıcılarını mümkün olan en kısa sürede güncellemelerini önerdi.
Zero-day açıklarının özellikle tehlikeli olmasının nedeni, güvenlik açığının yazılım geliştiricisi tarafından fark edilmeden önce saldırganlar tarafından kullanılmaya başlanmasıdır. Bu durumda saldırılar, yazılım üreticisi sorunu çözmeden önce gerçekleşebilir.
Bu olay da tam olarak böyle bir senaryoyu temsil ediyor.
Google iki yeni zero-day açığını doğruladı
Google tarafından yapılan açıklamaya göre güvenlik sorunları şu iki açıkla bağlantılı:
- CVE-2026-3909
- CVE-2026-3910
Bu iki güvenlik açığının da yüksek şiddet seviyesine sahip olduğu belirtiliyor.
En kritik detay ise şu:
Her iki açık da saldırganlar tarafından aktif olarak kullanılmaya başlanmış durumda.
Bu nedenle Google, normal güncelleme döngüsünün dışında acil bir güvenlik güncellemesi yayınladı.
Chrome güvenlik güncellemeleri hızlanıyor
Google aslında 2023 yılından beri Chrome için haftalık güvenlik güncellemeleri yayınlıyor.
Ancak bu olayda dikkat çeken nokta şu oldu:
- 3 Mart’ta bir güvenlik güncellemesi yayınlandı
- 10 Mart’ta yeni bir güncelleme geldi
- ardından 48 saat içinde ikinci bir acil güncelleme daha yayınlandı
Bu durum genellikle çok kritik güvenlik sorunları ortaya çıktığında görülüyor.
Google ayrıca gelecekte Chrome güvenlik güncellemelerinin daha sık yayınlanacağını da açıkladı.
Yeni plana göre Chrome’un kararlı sürümleri:
iki haftada bir güncelleme alacak.
Bu da güvenlik açıklarının daha hızlı kapatılmasını sağlayacak.
İlk açık grafik motorunda bulundu
İlk zero-day açığı olan CVE-2026-3909, Chrome’un grafik işleme bileşeninde tespit edildi.
Bu bileşen:
Skia
olarak biliniyor.
Skia, Chrome’un şu işlemlerinde kullanılıyor:
- web sayfalarının çizilmesi
- kullanıcı arayüzünün oluşturulması
- grafiklerin işlenmesi
Bu açık out-of-bounds memory vulnerability olarak tanımlanıyor.
Bu tür açıklar genellikle şu tür saldırılara yol açabilir:
uzaktan kod çalıştırma (remote code execution).
Başka bir deyişle saldırganlar zararlı bir web sayfası aracılığıyla kullanıcının bilgisayarında kod çalıştırabilir.
Bu saldırının gerçekleşmesi için çoğu zaman yalnızca şu yeterlidir:
kullanıcının zararlı bir web sayfasını ziyaret etmesi.
İkinci açık JavaScript motorunda
İkinci zero-day açığı CVE-2026-3910, Chrome’un en kritik bileşenlerinden biri olan:
V8
içinde bulundu.
V8 motoru şu işlemlerden sorumludur:
- JavaScript kodlarını çalıştırmak
- web uygulamalarını işlemek
- modern web sitelerinin performansını sağlamak
Bu güvenlik açığı “inappropriate implementation vulnerability” olarak tanımlanıyor.
Uzmanlara göre bu açık şu saldırıya izin verebilir:
özel hazırlanmış bir HTML sayfası üzerinden saldırganın sandbox içinde kod çalıştırması.
Sandbox sistemi normalde zararlı kodların sistemin geri kalanına erişmesini engellemek için kullanılır.
Ancak bu tür açıklar sandbox güvenliğini zayıflatabilir.
Google güvenlik araştırmacılarına milyonlar ödedi
Bu iki açık Google tarafından şirket içinde keşfedilmiş olsa da Chrome’un güvenliğinde önemli rol oynayan başka bir sistem daha bulunuyor.
Bu sistem:
Vulnerability Reward Program (VRP)
olarak biliniyor.
Google bu program aracılığıyla güvenlik araştırmacılarına açık bulmaları karşılığında para ödülü veriyor.
Programın 15 yıllık tarihinde ödenen toplam ödül:
81.6 milyon dolar
2025 yılında ise:
17 milyon doların üzerinde ödül dağıtıldı.
Sadece Chrome güvenliği için 2025 yılında:
- 100’den fazla araştırmacıya
- 3.7 milyon dolar ödül verildi
Bu program sayesinde birçok güvenlik açığı saldırganlar tarafından kullanılmadan önce keşfedilebiliyor.
Chrome kullanıcıları şimdi ne yapmalı?
Google güvenlik güncellemesini yayınlamış olsa da tüm kullanıcılara ulaşması biraz zaman alabilir.
Şirket güncellemenin önümüzdeki günler ve haftalar boyunca kademeli olarak dağıtılacağını açıkladı.
Bu nedenle kullanıcıların güncellemeyi manuel olarak kontrol etmeleri öneriliyor.
Bunu yapmak için şu adımlar izlenebilir:
- Chrome menüsündeki üç nokta simgesine tıklamak
- Yardım menüsüne girmek
- Google Chrome Hakkında sayfasını açmak
Tarayıcı burada otomatik olarak güncelleme kontrolü yapacaktır.
Yeni güvenlik sürümleri şu şekilde yayınlandı:
- Windows / Mac: 146.0.7680.75 veya 146.0.7680.76
- Linux: 146.0.7680.75
Güncelleme indirildikten sonra tarayıcının yeniden başlatılması gerekiyor.
Zero-day saldırılar neden tehlikelidir?
Zero-day açıkları siber güvenlik dünyasında en ciddi tehditlerden biridir.
Çünkü:
- yazılım üreticisi açık hakkında bilgi sahibi değildir
- saldırılar savunma sistemleri tarafından fark edilmeyebilir
- saldırganlar uzun süre avantaj elde edebilir
Bu nedenle güvenlik uzmanları zero-day açıklarının asla hafife alınmaması gerektiğini vurguluyor.
Chrome’un güvenliği aslında güçlü kabul ediliyor
Chrome sık sık güvenlik açıklarıyla gündeme gelse de uzmanlar bunun aslında olumlu bir durum olduğunu söylüyor.
Çünkü Chrome:
- aktif güvenlik araştırmacı topluluğu
- bug bounty programı
- hızlı güncelleme sistemi
sayesinde açıkları hızlı şekilde kapatabiliyor.
Bu yaklaşım Chrome’u en hızlı güncellenen tarayıcılardan biri haline getiriyor.
