Google, Chrome 148’i Windows, macOS ve Linux için kararlı kanala sundu. Bu sürüm, tarayıcının son aylardaki en güvenlik odaklı güncellemelerinden biri olarak öne çıkıyor. Linux için 148.0.7778.96, Windows ve Mac için ise 148.0.7778.96/97 sürümleri yayımlandı ve toplam 127 güvenlik açığı giderildi. Düzeltilen açıklar arasında üç güvenlik açığı Kritik olarak sınıflandırılırken, iki düzineden fazlası Yüksek önem derecesine sahip. Kalan açıklar ise Orta ve Düşük önem derecesi kategorilerinde yer alıyor.

Google ayrıca, bu güvenlik açıklarının bir kısmını sorumlu bir şekilde bildiren harici araştırmacılara 100.000 dolardan fazla hata ödülü verdi. Bir araştırmacı, Chrome’un V8 JavaScript motorunda Yüksek önem derecesine sahip sınır dışı okuma ve yazma sorununu tespit ettiği için 55.000 dolar ödül aldı.

En ciddi düzeltmeler arasında, Blink görüntüleme motorunda yer alan ve 43.000 dolar ödül kazandıran CVE-2026-7896 integer overflow güvenlik açığı bulunuyor. Diğer iki Kritik açık olan CVE-2026-7897 ve CVE-2026-7898 ise Mobile bileşenini ve Chrome Remote Desktop olarak da bilinen Chromoting’i etkileyen use-after-free güvenlik açıklarıdır.

Use-after-free güvenlik açıkları özellikle tehlikeli kabul edilir; çünkü saldırganların belleği manipüle etmesine ve potansiyel olarak keyfi kod çalıştırmasına olanak sağlayabilir.

Yüksek önem derecesine sahip güvenlik açıkları, birçok önemli tarayıcı bileşenini kapsıyor. V8’te yer alan sınır dışı okuma ve yazma açığı olan CVE-2026-7899, bu güncellemedeki en yüksek bireysel ödülü aldı. Diğer dikkat çeken sorunlar arasında ANGLE’da bulunan heap buffer overflow ve use-after-free açıkları ile V8’teki ek bellek erişim sorunları yer alıyor.

Chrome 148 ayrıca SVG, DOM, Fullscreen, GPU, WebRTC, Skia, Passwords, ServiceWorker, PresentationAPI ve WebAudio gibi bileşenlerdeki birden fazla use-after-free güvenlik açığını da gideriyor. Orta önem derecesindeki sorunlar arasında V8’teki object lifecycle problemleri, WebRTC’de type confusion açığı ve DevTools, Extensions ile DirectSockets bileşenlerinde yetersiz politika uygulaması sorunları bulunuyor. MHTML’de yer alan Düşük önem dereceli bir güvenlik açığı ise, kullanıcının belirli arayüz işlemlerini yapmaya kandırılması durumunda, uzaktaki bir saldırganın özel olarak hazırlanmış bir MHTML sayfası üzerinden cross-origin verileri sızdırmasına olanak sağlayabilir.

Google; KAIST Hacking Lab, Tencent Security Xuanwu Lab, National Yang Ming Chiao Tung University’s Security and Systems Lab ve Theori dahil olmak üzere birçok bağımsız araştırmacı ve güvenlik ekibine teşekkür etti. Hataların çoğu AddressSanitizer, MemorySanitizer, UndefinedBehaviorSanitizer, libFuzzer ve AFL gibi otomatik fuzzing ve sanitizer araçları kullanılarak tespit edildi.

Windows, macOS ve Linux kullanıcılarının Chrome’u mümkün olan en kısa sürede güncellemeleri önemle tavsiye edilir. Güncelleme, Settings → Help → About Google Chrome yoluna gidilerek yüklenebilir; bu işlem en son sürümü otomatik olarak kontrol eder ve uygular.

• Kurum genelinde tarayıcı güncellemeleri merkezi olarak takip edilmeli ve kritik güvenlik yamaları geciktirilmeden uygulanmalıdır.

• Kullanıcılar, güncel olmayan tarayıcılarla internete erişmenin zararlı web sayfaları üzerinden istismar riskini artırdığı konusunda bilinçlendirilmelidir.

• Endpoint güvenlik çözümleri, EDR ve web güvenliği katmanları ile tarayıcı tabanlı saldırılara karşı ek koruma sağlanmalıdır.

• BT ekipleri, kritik CVE duyurularını düzenli olarak izlemeli ve etkilenen sistemler için hızlı aksiyon planı oluşturmalıdır.

Detaylı bilgi için info@zerosecond.com.tr adresinden uzmanlarımıza başvurabilirsiniz.