chrome'da gemini paneli üzerinden yetki yükseltme açığı
arkadaşlar, google chrome’da yeni bir açık yamalanmış. aslında ocak 2026’da yamalanmış ama detayları şimdi açıklandı. CVE-2026-0628 numaralı bu açık, kötü niyetli chrome eklentilerinin gemini panelini kullanarak sistem üzerinde yetki yükseltmesi yapmasına ve yerel dosyalara erişmesine izin veriyormuş. CVSS skoru 8.8, yani ciddi seviyede bir açık.
ne olmuş yani?
şöyle ki, chrome’un webview tag’inde yeterli politika denetimi yokmuş. saldırganlar bunu kullanarak özel hazırladıkları kötü niyetli eklentileri gemini paneli üzerinden tetikleyip yetki yükseltebiliyormuş. yani kullanıcı bir eklenti kuruyor, o eklenti gemini panelini kullanarak sistemdeki dosyalara erişim sağlıyor. klasik privilege escalation vakası işte.
spoiler: açık ocak 2026’da yamalanmış, yani şu an güncel chrome sürümünüzse sorun yok. ama hala eski sürüm kullanıyorsanız, hemen güncelleyin.
teknik detaylar
- CVE numarası: CVE-2026-0628
- CVSS skoru: 8.8 (ciddi, boş durma 🟠)
- zafiyet türü: insufficient policy enforcement (yetersiz politika denetimi)
- etkilenen bileşen: webview tag
- saldırı vektörü: kötü niyetli chrome eklentileri üzerinden gemini paneli kullanılarak
- sonuç: yetki yükseltme ve yerel dosyalara erişim
etkilenen sistemler
| Sistem/Tarayıcı | Durum |
|---|---|
| Google Chrome (ocak 2026 öncesi) | ✅ Etkileniyor |
| Google Chrome (güncel sürüm) | ❌ Yamalandı |
| Chromium tabanlı tarayıcılar (eski) | ✅ Muhtemelen etkileniyor |
| Firefox, Safari | ❌ Etkilenmiyor |
ne yapmalısınız?
agalar, yapmanız gereken çok basit:
1. chrome sürümünüzü kontrol edin
chrome’u açın ve adres çubuğuna şunu yazın:
chrome://settings/help
otomatik olarak güncelleme kontrolü yapacak ve varsa güncellemeleri indirecektir.
2. şüpheli eklentileri temizleyin
gemini paneli kullanan veya kullanabilecek eklentilerinizi gözden geçirin:
chrome://extensions/
buradan eklentilerinizi listeleyin. tanımadığınız, kullanmadığınız veya şüpheli bulduğunuz eklentileri kaldırın. özellikle:
- son zamanlarda kurduğunuz eklentiler
- bilinmeyen geliştiricilerden gelen eklentiler
- gereğinden fazla izin isteyen eklentiler
dikkat: eklenti kaldırmadan önce hangi izinlere sahip olduğuna bakın. “dosya sistemine erişim” gibi izinler varsa şüphelenin.
3. kurumsal ortamlar için
eğer şirket içinde chrome yönetiyorsanız:
# chrome sürümünü toplu kontrol (windows domain)
Get-WmiObject -Class Win32_Product | Where-Object {$_.Name -like "*Chrome*"} | Select-Object Name, Version
# veya linux ortamlar için
google-chrome --version
# veya
chromium --version
güncel olmayan sistemleri tespit edin ve güncelleme politikası uygulayın.
4. eklenti politikası oluşturun
kurumsal ortamlarda chrome eklenti yüklemeyi kısıtlayın:
// chrome policy (windows registry veya linux /etc/chromium/policies/)
{
"ExtensionInstallBlocklist": ["*"],
"ExtensionInstallAllowlist": [
"bilinen-guvenli-eklenti-id-1",
"bilinen-guvenli-eklenti-id-2"
]
}
böylece sadece onayladığınız eklentiler kurulabilir.
gemini paneli nedir ki?
google’ın yapay zeka asistanı gemini’yi chrome’a entegre etmişler. yan panel olarak açılıyor ve çeşitli işlemler yapabiliyorsunuz. işte bu panel, webview tag kullandığı için açığa kapı aralamış. saldırganlar bu paneli kullanarak yetki yükseltme yapabiliyormuş.
edit: gemini panelini kullanmıyorsanız bile, chrome’da webview tag kullanan herhangi bir eklenti bu açıktan faydalanabilirdi. o yüzden eklenti seçiminde dikkatli olun.
geçici çözümler (yamalayamıyorsanız)
bazı durumlarda hemen güncelleyemeyebilirsiniz (uyumluluk testleri vs.). o zaman şunları yapın:
tüm eklentileri devre dışı bırakın:
- özellikle üçüncü parti eklentileri
- sadece mutlaka gerekli olanları aktif tutun
gemini panelini kapatın:
chrome://flags/adresine gidin- “gemini” araması yapın
- ilgili flag’leri “disabled” yapın
sandbox modunu kontrol edin:
# chrome'un sandbox ile çalıştığından emin olun google-chrome --enable-sandboxkullanıcı izinlerini kısıtlayın:
- chrome’u admin yetkisiyle çalıştırmayın
- özellikle windows’ta standart kullanıcı hesabıyla çalıştırın
kaynak ve referanslar
- The Hacker News - Orijinal Haber
- CVE-2026-0628 Detayları
- Google Chrome Security Updates
- Chrome Enterprise Policy List
sonuç
arkadaşlar, chrome güncel tutmak her zaman önemli ama bu sefer özellikle önemli. yetki yükseltme ve dosya erişimi ciddi konular. hemen sürümünüzü kontrol edin, eklentilerinizi gözden geçirin.
önemli: kurumsal ortamlardaysanız, eklenti yükleme politikası mutlaka olsun. kullanıcılar rastgele eklenti kurmasın, sonra böyle açıklar sizi vurur.
sorularınız varsa yazın, yardımcı olmaya çalışırım.
güvenli günler dilerim agalar.
Bu içerik yapay zeka tarafından oluşturulmuştur.