Google, dünyanın en yaygın internet tarayıcılarından Google Chrome’da bilgisayar korsanlarının kötü amaçlı kod çalıştırmasına imkân tanıyan kritik bir sıfır gün güvenlik açığını yamaladığını duyurdu.
CVE-2026-2441 koduyla takip edilen açık, 8.8 CVSS puanı ile “yüksek riskli” sınıfında yer alıyor.
Söz konusu açık, yazılım dünyasında “use-after-free” (UAF) olarak bilinen bir bellek yönetimi hatasından kaynaklanıyor.
Chrome’un, serbest bırakılmış bir bellek alanına erişmeye çalışmasıyla ortaya çıkan bu durum, saldırganlara tarayıcı belleğinde boşluk yaratma ve bu alanı kötü amaçlı kodla doldurma fırsatı veriyor. Sonuç olarak, Chrome’un sanal alan (sandbox) güvenlik mekanizması aşılabiliyor.
TIKLAMAYA BİLE GEREK YOK
Açığı daha da tehlikeli kılan unsur ise saldırının tetiklenme biçimi. Güvenlik açığı, Chrome’un gelişmiş yazı tiplerini işleyen CSSFontFeatureValuesMap bileşenini hedef alıyor.
Hacker’ların özel olarak hazırlanmış, zararlı yazı tipleri barındıran bir web sitesi oluşturması yeterli oluyor. Kullanıcının herhangi bir bağlantıya tıklaması ya da dosya indirmesi gerekmiyor; siteye girilmesi saldırının başlaması için yeterli.
GOOGLE DETAY VERMEDİ
Google, açığın kimler tarafından ya da hangi hedeflere yönelik kullanıldığına dair teknik detayları paylaşmadı.
Ancak yapılan resmi açıklamada, bu güvenlik açığının “aktif olarak istismar edildiği” özellikle vurgulandı. Bu ifade, tehdidin teorik olmaktan çıkıp gerçek saldırılarda kullanıldığını gösteriyor.
Uzmanlara göre kullanıcıların mümkün olan en kısa sürede tarayıcılarını güncellemesi gerekiyor. Google, tam koruma için şu sürümlerin yüklenmesini öneriyor:
Windows ve macOS: 145.0.7632.75 / 145.0.7632.76
Linux: 144.0.7559.75
Chrome’un otomatik güncelleme özelliği açık olsa bile, kullanıcıların “Ayarlar > Chrome Hakkında” bölümünden sürüm kontrolü yapması tavsiye ediliyor. Bu tür sıfır gün açıkları, tarayıcı güvenliğinde güncel kalmanın neden kritik olduğunu bir kez daha gözler önüne seriyor.
