Google Chrome Kritik Güvenlik Güncellemesi Yayınladı: WebAudio Açığına Karşı Yeni Yama Geldi

yazar

Google, popüler web tarayıcısı Google Chrome için kritik önemde bir güvenlik güncellemesi yayınladı. 6 Mayıs 2025 tarihinde duyurulan bu güncelleme, özellikle WebAudio API bileşenindeki ciddi bir Use-After-Free (UAF) güvenlik açığını gideriyor. Güncelleme, saldırganların uzak bağlantılar aracılığıyla kötü amaçlı kod çalıştırmasına olanak tanıyan bir açığı kapatıyor.

Bu yazımızda, CVE-2025-4372 koduyla takip edilen bu güvenlik açığının teknik detaylarını, risk faktörlerini, çözüm sürecini ve kullanıcıların neler yapması gerektiğini detaylı şekilde ele alıyoruz.

Chrome-Security-Update- Google Chrome

Chrome Security Update

CVE-2025-4372: WebAudio API’de Kritik Güvenlik Açığı

Google Chrome’un WebAudio API’sinde tespit edilen bu Use-After-Free güvenlik açığı, saldırganların özel olarak hazırlanmış HTML dosyaları aracılığıyla yığın bellek bozulmasını (heap corruption) istismar etmesine imkân tanıyor.

Açığın Teknik Özeti:

  • Açık: CVE-2025-4372

  • Bileşen: MediaStreamAudioDestinationNode (WebAudio API)

  • Saldırı türü: Use-After-Free (kullanım sonrası serbest bırakma)

  • Etki: Kötü amaçlı kod çalıştırılması, sistem ele geçirilmesi

  • Kritiklik seviyesi: Google’a göre “Orta”, ancak güvenlik firmalarına göre “Kritik”

Güvenlik Açığı Nasıl Ortaya Çıktı?

Bu açık, Ant Group Light-Year Security Lab’dan güvenlik araştırmacısı Huang Xilin tarafından 20 Nisan 2025 tarihinde tespit edildi. Açığı bildirmesi üzerine Google, sorunu hızla analiz etti ve 7.000 $ ödül verdi.

Ayrıca güvenlik uzmanı Michael Wilson, bu tür açıkları şöyle açıklıyor:

“Use-after-free, bir programın serbest bırakılmış belleği yeniden kullanmaya çalışması sonucu oluşan bellek bozulması güvenlik açığıdır. Bu durumda, MediaStreamAudioDestinationNode nesnesi doğru şekilde yönetilmemiş ve potansiyel olarak kötü niyetli kodun çalıştırılmasına neden olmuştur.”

Kimler Etkileniyor?

Bu açık, 136.0.7103.92 sürümünden önceki tüm Chrome sürümlerini etkiliyor. Eğer hala güncel sürüme geçmediyseniz, cihazınız potansiyel risk altında olabilir.

Etkilenen Platformlar:

  • Windows (136.0.7103.92/.93)

  • macOS (136.0.7103.92/.93)

  • Linux (136.0.7103.92)

CVSS Skoru: Tehlikenin Ciddiyeti

CVE-2025-4372 açığı, CVSS 3.1 standardına göre 9.8 puanla “kritik” seviye olarak derecelendiriliyor. Bu kadar yüksek bir puanın sebebi ise:

  • Saldırganın uzaktan kod çalıştırabilmesi

  • Kullanıcıdan çok az etkileşim gerektirmesi (sadece bir web sayfasının ziyaret edilmesi yeterli)

  • Herhangi bir sistemsel ayrıcalık gerektirmemesi

Google’ın Yama Çözümü Nasıl Çalışıyor?

Google’ın çözümü, MediaStreamAudioDestinationNode bileşenini ActiveScriptWrappable haline getirerek, JavaScript tarafından kullanılan nesnelerin erken yok edilmesini engellemeye odaklandı.

Bu yöntem sayesinde:

  • Ses düğümleri, kullanıldıkları sürece bellekte tutuluyor.

  • Serbest bırakılan bellek adresleri artık rastgele yazılım müdahalesine açık kalmıyor.

  • Bellek güvenliği artırılıyor, sistem kararlılığı korunuyor.

WebAudio Bileşeni Neden Hedefte?

WebAudio, Chrome’un en gelişmiş medya API’lerinden biridir. Ancak bu karmaşıklık, güvenlik açıklarına da zemin hazırlar.

Daha önce keşfedilen benzer açıklar:

  • CVE-2023-6345

  • CVE-2024-0224

Bu da WebAudio bileşeninin kronik güvenlik riski taşıdığını ve sürekli gözlem altında tutulması gerektiğini gösteriyor.

Güvenlik Açığı Nasıl Tespit Edildi?

Google, açığı tespit etmek için aşağıdaki gelişmiş araçları kullandı:

  • AddressSanitizer (ASan)

  • MemorySanitizer

  • UndefinedBehaviorSanitizer

  • Control Flow Integrity (CFI)

  • libFuzzer ve AFL

Bu araçlar, özellikle bellek bozulması, kullanım sonrası serbest bırakma ve belirsiz davranış hatalarını tespit etmekte oldukça etkili. Ancak bu testler sırasında uygulamaların çalışması 2-4 kat yavaşlayabiliyor, bu da sadece test ortamlarında kullanılmalarının nedenlerinden biridir.

Chrome-Security-Update-

Chrome Security Update

Kullanıcılar Ne Yapmalı?

Chrome kullanıcılarının bu güvenlik açığından korunmak için yapmaları gereken en önemli şey, tarayıcılarını güncellemek. Google, güncellemenin önümüzdeki günlerde otomatik olarak sunulacağını açıklasa da manuel olarak kontrol etmek çok daha güvenlidir.

Chrome Güncellemesi Nasıl Yapılır?

  1. Chrome’u açın.

  2. Adres çubuğuna şu bağlantıyı yazın:
    chrome://settings/help

  3. Güncelleme kontrol edilecek ve yeni sürüm varsa otomatik olarak indirilecektir.

  4. Tarayıcıyı yeniden başlatın.

Şirketler ve Geliştiriciler İçin Uyarılar

Özellikle kurumsal ağlar, kiosk sistemleri, web uygulamaları geliştiren firmalar bu güncellemeyi ciddiye almalı. Çünkü açığın temel hedefi, web sayfaları üzerinden saldırgan kodu çalıştırmak, yani web tabanlı tehditlere açık sistemlerdir.

  • Web geliştiricileri, özel HTML öğelerini test ederken dikkatli olmalı

  • Güvenlik duvarı ve tarayıcı sandbox politikaları güncellenmeli

  • Kurumsal kullanıcılar için toplu dağıtım politikaları yeniden düzenlenmeli

WebAudio Açığı Google Chrome Kullanıcıları İçin Ciddi Tehdit Oluşturuyor

CVE-2025-4372, Google Chrome tarayıcısında istismar edilebilecek ciddi bir güvenlik açığıydı. Google, hızlı bir müdahale ile bu riski ortadan kaldırsa da, kullanıcıların güncellemeleri zamanında yapmaları ve dikkatli olmaları büyük önem taşıyor.

Tarayıcınızı güncel tutmak, sadece performans değil, aynı zamanda kişisel verilerinizin ve sisteminizin güvenliği için kritik bir adımdır. Özellikle güvenlik açıklarının istismar edilme süresi her geçen yıl daha da kısalırken, anlık güncellemeler artık bir tercih değil, zorunluluk haline gelmiştir.

Google Chrome Kritik Güvenlik Güncellemesi Yayınladı: WebAudio Açığına Karşı Yeni Yama Geldi yazısı ilk önce BeeTekno | Güncel Teknoloji Haberleri ve İncelemeler yayınlanmıştır.