Chrome Windows/macOS sürümleri için CSS zero-day açığını gideren güncelleme dağıtıldı

 (chromereleases.googleblog.com)
3 puan yazan GN⁺ 2026-02-20 | 2 yorum | WhatsApp'ta paylaş
  • Google, Chrome masaüstü sürümünün kararlı kanal güncellemesini yayımladı; buna CVE-2026-2441 olarak tanımlanan CSS ile ilgili bir zero-day açığı da dahil
  • Google, bu açığın gerçek saldırılarda aktif olarak istismar edildiğini (in the wild) doğruladı ve kullanıcıların güvenlik riskini en aza indirmek için derhal en güncel sürüme yükseltmesi gerekiyor
  • Güncelleme, Windows, macOS ve Linux için Chrome'a kademeli olarak dağıtılıyor

Chrome kararlı kanal güncellemesine genel bakış

  • Google, masaüstü Chrome için Kararlı Kanal (Stable Channel) güncellemesini duyurdu
    • Windows/macOS için 145.0.7632.75/76, Linux için 144.0.7559.75
    • Güncelleme Windows, macOS ve Linux platformlarına dağıtılıyor
    • Otomatik güncelleme yoluyla kademeli olarak uygulanacak

Güvenlik açığı CVE-2026-2441

  • Bu sürümde CVE-2026-2441 olarak tanımlanan bir güvenlik açığı bulunuyor
    • CSS işleme sürecinde ortaya çıkan bir zero-day açığı olduğu doğrulandı
    • Google, bu açığın gerçek saldırılarda aktif olarak kullanıldığını açıkça belirtti

Kullanıcılar için önerilen adımlar

  • Google, tüm kullanıcıların Chrome'u derhal en güncel sürüme yükseltmesini öneriyor
    • Otomatik güncelleme tamamlanmadıysa, güncelleme manuel olarak yapılabilir
    • En güncel sürüm uygulandığında bu açıktan korunmak mümkün

Dağıtım ve destek

  • Güncelleme Kararlı Kanal üzerinden aşamalı olarak dağıtılıyor
    • Bazı kullanıcılar için güncellemenin ulaşması zaman alabilir
  • Chrome ekibi, ek güvenlik iyileştirmeleri ve kararlılık artırmaları üzerinde çalışmayı sürdürüyor

İlgili okumalar

2 yorum

 
xguru 2026-02-20

Güncelledim ama görünen o ki Mac sürümü şimdiden 145.0.7632.110'a kadar çıkmış.

CSS içinde font işlenirken geçersiz kılınmış bir adresin kullanılmaya devam edilmesiyle ortaya çıkan bir Use-After-Free açığı; bu da sistemin ele geçirilmesine kadar gidebildiği için, sadece bir web sitesini açmakla bile tetiklenebiliyor. Hatta bu açığı zaten istismar eden yerler olduğu da söyleniyor.
 
GN⁺ 2026-02-20
Hacker News yorumları

  • Google Chromium'da CSS'te use-after-free açığı keşfedildi
    Kötü amaçlı bir HTML sayfası üzerinden uzaktaki bir saldırganın heap bozulmasına yol açabilmesine neden olan bu sorun, yalnızca Chrome'u değil Edge, Opera gibi Chromium tabanlı tarayıcıların genelini de etkileyebilir
    Oldukça ciddi bir sorun gibi görünüyor; araştırmacının aldığı bug bounty miktarı merak ediliyor

    • 20 bin dolardan fazla değildir gibi geliyor
      Ciddi bir açığı bulup yeniden üretilebilir bir exploit hazırlamak için gereken emeği düşününce, ödülün fazla düşük olduğu hissi var
    • Firefox etkilenmiyor gibi görünüyor
    • Electron uygulamaları da etkilenebilir
      Çünkü çoğu Chrome sürümünü sabitleyip (pinning) kullanıyor
    • Gerçekten anlamlı bir saldırı olması için sandbox escape gerekir
      Ancak “wild'da tespit edildi” ifadesi, sandbox escape'i de içeren bir saldırı zincirinin zaten var olduğu anlamına gelebilir
    • use-after-free'nin hâlâ hafife alınması sorun olarak görülüyor
      21. yüzyıl sistem dillerinde böyle hataların hâlâ ortadan kaldırılamamış olması utanç verici

  • Chromium/Blink kod tabanının karanlık köşelerinde hâlâ bu tür hatalar saklı olabilir
    Böyle çekirdek bir projede, yalnızca buna odaklanan ekiplerle tüm kod tabanının sürekli doğrulanması gerektiği düşünülüyor
    Akıllı buzdolabı entegrasyonu gibi özelliklerdense bu tür güvenlik güçlendirmelerine yatırım yapmak çok daha değerli görülüyor

    • Chromium zaten agresif fuzzing uyguluyor
      Yeterince güçlü bir fuzzer varsa erişemediği alan neredeyse yoktur diye düşünülüyor

  • “Use after free in CSS” ifadesi biraz komik geliyor

    • Muhtemelen CSS parser'ı veya CSSOM kastediliyor
    • Neden böyle ifade edildiği merak ediliyor

  • Bu açığın pratikte tam olarak neye yol açtığı pek anlaşılmıyor
    Sandbox'tan kaçış veya XSS yoksa neredeyse zararsız gibi görünüyor, ancak PoC koduna bakıldığında
    renderer süreci içinde keyfi kod çalıştırma, bilgi sızdırma, çerez ve oturum çalma, DOM manipülasyonu, keylogging gibi çeşitli saldırıların mümkün olduğu söyleniyor

    • Tarayıcı saldırıları genelde iki aşamalıdır
      Önce bir renderer hatasıyla sandbox içinde keyfi kod çalıştırma elde edilir, ardından sandbox escape ile tam sistem yetkisine ulaşılır
      Bu açık ilk aşamaya karşılık geliyor; gerçekten saldırılarda kullanıldıysa ikinci aşamanın da mevcut olma ihtimali yüksek

  • Hâlâ böyle bellek açıklarının çıkması şaşırtıcı bulunuyor
    Bellek güvenli dillerdeki gibi doğrulanmış binary'ler üreten araçlar yok mu diye soruluyor
    CSS de artık değişkenler, scope ve preprocessor özellikleriyle daha karmaşık hale geldi; “no-script” gibi bir “no-style” eklentisi de gerekebilir deniyor
    Bu raporun basit bir hata mı yoksa çok aşamalı bir saldırı zinciri mi olduğu merak ediliyor

    • Böyle araçlar tamamen yok değil, ancak Chromium zaten mümkün olan tüm sanitizer ve fuzzing araçlarını kullanıyor
      Sorun test kapsamı. Kod tabanı o kadar büyük ki tam kapsam elde etmek zor, bu açıklar da o boşluklarda ortaya çıkıyor
    • “no-style” pratikte mümkün değil
      CSS web'in çekirdeği; kaldırılırsa sitelerin neredeyse tamamı bozulur
      Bunun yerine izole yürütme (isolation) bir alternatif olabilir
      Tarayıcı oturumunu uzaktaki bir sunucudan akış olarak alırsanız, bir zero-day patlasa bile etkilenen yer yerel makine değil uzaktaki instance olur
      Mükemmel değil ama saldırı yüzeyini daraltan bir savunmada derinlik stratejisi

  • Chromium ekibinin kullandığı güvenlik araçları arasında AddressSanitizer, MemorySanitizer, libFuzzer gibi araçlar anılmış ama OSS-Fuzz'ın geçmemesi ilginç bulunuyor

    • OSS-Fuzz kendi başına bir fuzzer değil; yukarıda geçen sanitizer ve fuzzing motorlarını birleştirerek kullanan bir platform

  • Yama yayımlandıktan sonra PoC kodunu görmek isteyenler var

  • Chromium'un Rust ile baştan yazılması gerektiğine dair bir şaka yapılıyor

    • Aslında Blink motorunun bazı bölümleri benzer etkiyi hedefleyerek GC tabanlı C++ ile yeniden yazılmıştı
    • Hatta bunun yerine Mozilla'nın Servo motoruna yatırım yapmanın daha iyi olacağı görüşü de var

  • CVE aranırken issue sayfasının mevcut olduğu görülüyor ancak
    “Access is denied” yazıyor
    Giriş yapılmadan erişilemeyen özel bir durumda olduğu anlaşılıyor