qualcomm android bileşeninde aktif sömürülen açık var
arkadaşlar, google pazartesi günü android cihazlarda kullanılan qualcomm bileşeninde bir açık olduğunu ve bunun aktif olarak sömürüldüğünü doğruladı. yani bu sıfır-gün dedikleri şeylerden, yamadan önce birilerinin bulup kullanmış olduğu türden.
CVE-2026-21385 numaralı bu zafiyet, qualcomm’un açık kaynak kodlu graphics (grafik) bileşeninde bulunuyor. cvss skoru 7.8, yani ciddi kategorisinde. spoiler: aktif sömürülüyor, o yüzden boş durmayın.
ne var ne yok bu açıkta
qualcomm’un açıklamasına göre, buffer over-read denen klasik bir bellek sorunu var. yani şöyle ki: kullanıcının gönderdiği veriyi alırken, buffer’da (tampondaki) yeterli yer olup olmadığına bakmadan ekliyor sistem. sonuç: bellek bozulması (memory corruption).
bu tarz açıklar genelde şu işe yarar:
- hassas verilere erişim sağlanabilir
- sistem çökertilip servis durdurulabilir (dos)
- bazı durumlarda kod çalıştırma bile mümkün olabilir
teknik detaylar:
- zafiyet türü: buffer over-read / memory corruption
- cvss skoru: 7.8 (high/ciddi)
- etkilenen bileşen: qualcomm graphics component (açık kaynak)
- durum: aktif sömürülüyor 🔴
hangi cihazlar etkileniyor
qualcomm işlemcili android cihazlar etkileniyor. yani:
| Cihaz Kategorisi | Durum |
|---|---|
| Qualcomm işlemcili Android telefonlar | ✅ Etkileniyor |
| Qualcomm işlemcili Android tabletler | ✅ Etkileniyor |
| MediaTek/Exynos işlemcili cihazlar | ❌ Etkilenmiyor |
| iPhone/iOS cihazları | ❌ Etkilenmiyor |
edit: tam liste qualcomm’un advisory’sinde var ama genel olarak snapdragon işlemcili cihazlar risk altında.
ne yapmalısınız
agalar, yapmanız gereken çok basit ama acil:
bireysel kullanıcılar için:
hemen güncelleme kontrolü yapın:
- ayarlar > sistem > sistem güncellemesi
- veya ayarlar > telefon hakkında > yazılım güncellemesi
google play sistem güncellemesini kontrol edin:
- ayarlar > güvenlik > google play sistem güncellemesi
- mart 2026 yaması gelmiş olmalı
otomatik güncellemeleri açın:
- ayarlar > sistem > gelişmiş > sistem güncellemesi > otomatik güncelleme
sistem yöneticileri için:
eğer kurumsal android cihazlarınız varsa (mdm ile yönetiyorsanız):
# MDM üzerinden zorunlu güncelleme politikası uygulayın
# Örnek ADB komutu ile güncelleme kontrolü (test için):
adb shell dumpsys package com.google.android.gms | grep versionName
# Qualcomm bileşen versiyonunu kontrol:
adb shell getprop | grep qualcomm
# Güvenlik yama seviyesini kontrol:
adb shell getprop ro.build.version.security_patch
yapılması gerekenler:
- tüm qualcomm işlemcili cihazları envantere alın
- mart 2026 güvenlik yamasını zorunlu kılın
- yamalanmayan cihazları ağdan izole edin
- kritik verilere erişimi kısıtlayın
geçici çözümler
yamayı hemen uygulayamıyorsanız (ki uygulamalısınız ama):
- ağ izolasyonu: etkilenen cihazları hassas ağlardan ayırın
- uygulama kısıtlaması: graphics yoğun uygulamaları sınırlayın (oyunlar, video editörleri vs)
- bilinmeyen kaynaklardan uygulama yüklemeyi kapatın
- play protect’i aktif tutun
dikkat: bunlar geçici çözüm, asıl çözüm yamalamak.
neden bu kadar önemli
arkadaşlar, bu açık aktif olarak sömürülüyor. yani teorik değil, pratikte birisi bunu kullanarak saldırı yapıyor. genelde bu tarz açıklar şu şekilde istismar edilir:
- kötü niyetli bir uygulama yükletilir (phishing, sahte uygulama vs)
- uygulama bu açığı kullanarak yetkilerini yükseltir
- cihazın kontrolünü ele geçirir
- veri çalar, keylogger yükler, fidye yazılımı bulaştırır
google ve qualcomm bu açığı public ettiğine göre, yama da hazır demektir. hemen güncelleyin yani.
timeline (ne zaman ne oldu)
- bilinmeyen tarih: açık sömürülmeye başlandı
- qualcomm advisory: zafiyet bildirildi
- 3 mart 2026: google açığı doğruladı ve yama yayınladı
- şimdi: sizin güncelleme yapma vaktiniz
kaynaklar ve referanslar
- The Hacker News - Orijinal Haber
- CVE-2026-21385 Detayları
- Qualcomm Security Bulletin (vendor advisory)
- Google Android Security Bulletin - Mart 2026
özet: qualcomm grafik bileşeninde CVE-2026-21385 açığı var, aktif sömürülüyor, cvss 7.8, acil güncelleyin.
bkz: android güvenlik yamaları, qualcomm zafiyetleri, sıfır-gün açıkları
şimdi hadi, telefonunuzu elinize alın ve o güncelleme butonuna basın. “sonra yaparım” demeyin, sonra olmaz.
edit: kurumsal kullanıcıysanız, it departmanınıza haber verin. onlar da bu yazıyı okusun, hemen harekete geçsinler.
Bu içerik yapay zeka tarafından oluşturulmuştur.