Google, 2026 yılının ilk sıfır gün (zero-day) açığı olarak kayda geçen kritik bir güvenlik sorununu gidermek üzere Chrome tarayıcısı için acil bir güncelleme yayınladı. CVE-2026-2441 koduyla izlenen ve 10 üzerinden 8.8 CVSS puanı alan açık, halihazırda saldırganlar tarafından aktif şekilde istismar ediliyordu. Şirket, güvenlik açığının kamuya duyurulmasından kısa süre sonra yamayı kullanıma sunduğunu açıkladı. Güvenlik bülteninde, söz konusu açığın gerçek dünyada kötüye kullanıldığı doğrulanırken, saldırıların kapsamına ilişkin ayrıntı paylaşılmadı.
Açığın kaynağında, Chrome’un CSS işleme mekanizmasında bulunan bir “use-after-free” bellek hatası yer alıyor. Bu tür güvenlik açıkları, serbest bırakılmış belleğe yeniden erişim sağlanmasına imkân tanıyarak kötü amaçlı kod çalıştırılmasına zemin hazırlayabiliyor. Her ne kadar Chrome’un sandbox mimarisi ek bir güvenlik katmanı sunsa da, özel olarak hazırlanmış bir HTML sayfası üzerinden tarayıcı içinde rastgele kod yürütülebilmesi riski söz konusu. Buna rağmen Google, açığın tarayıcı sandbox’ı dışına taşarak sistem genelinde yetki kazanıp kazanmadığına ilişkin teknik detay paylaşmadı.
Google Chrome CVE-2026-2441 açığı ve yayınlanan güncellemeler
Google tarafından yayımlanan bilgilere göre, Windows ve macOS için Chrome 145.0.7632.75, Linux için ise 144.0.7559.75 sürümleri güvenlik düzeltmesini içeriyor. Güncellemelerin önümüzdeki günler ve haftalar içinde kademeli olarak dağıtılacağı belirtilirken, kullanıcıların manuel güncelleme kontrolü yapmaları öneriliyor. Bunun yanında, güvenlik açığının üçüncü taraf bileşenlerle ilişkili olması ihtimaline karşı teknik ayrıntıların geçici olarak gizli tutulduğu ifade ediliyor. Bu yaklaşım, benzer açıkların hızla silahlandırılmasını engellemeye yönelik standart bir uygulama olarak biliniyor.
Söz konusu açık, güvenlik araştırmacısı Shaheen Fazim tarafından 11 Şubat’ta rapor edildi. Google ise iki gün sonra açığın aktif olarak istismar edildiğini doğruladı. Fakat saldırıların hedefli mi yoksa geniş çaplı bir kampanyanın parçası mı olduğu netlik kazanmış değil. Buna rağmen, güvenlik topluluğunda sıfır gün açıklarının özellikle hedefli siber casusluk faaliyetlerinde sıkça kullanıldığı biliniyor.
Google’ın son yıllarda Chrome’daki güvenlik açıklarıyla yoğun biçimde mücadele ettiği görülüyor. Şirket, 2025 yılı boyunca sekiz ayrı sıfır gün açığını yamalamıştı. Bunun yanı sıra, kısa süre önce en az 287 Chrome uzantısının kullanıcıların tarama geçmişini üçüncü taraflara aktardığının ortaya çıkması, tarayıcı ekosistemindeki risklerin yalnızca çekirdek yazılımla sınırlı olmadığını gösterdi. Bu durum, kullanıcı güvenliğinin yalnızca güncellemelerle değil, aynı zamanda uzantı seçiminde dikkatli olunmasıyla da doğrudan bağlantılı olduğunu ortaya koyuyor.
Tüm bunlara ek olarak, sıfır gün açıklarının hızlı biçimde tespit edilip kapatılması, tarayıcı güvenliğinde kritik rol oynuyor. Yine de, saldırganların yeni zafiyetler bulma konusunda sürekli çaba gösterdiği biliniyor. Bu nedenle güvenlik uzmanları, otomatik güncellemelerin etkin tutulmasını, bilinmeyen bağlantılara karşı temkinli olunmasını ve gereksiz uzantıların kaldırılmasını öneriyor. Chrome’un geniş kullanıcı tabanı göz önünde bulundurulduğunda, benzer açıkların etkisi küresel ölçekte hissedilebiliyor. Bu tablo, düzenli yazılım güncellemelerinin dijital güvenliğin temel unsurlarından biri olmaya devam ettiğini gösteriyor.
Teknoblog, teknoloji gündemini farklı platformlarda düzenli biçimde paylaşıyor. WhatsApp kanalında öne çıkan haberleri anlık olarak aktarıyor, Google Haberler üzerinden güncel içerikleri sunuyor, Instagram ve X hesaplarında dikkat çeken başlıkları özetliyor, YouTube kanalında ise ürün incelemeleri ve detaylı anlatımlarla içeriği tamamlıyor.
