google chrome'da iki sıfır-gün açığı daha, agalar hemen güncelleyin

Posted on 14 Mar 2026

arkadaşlar, google perşembe günü chrome için acil bir güvenlik güncellemesi yayınladı. iki tane yüksek seviye zafiyet var ve spoiler: ikisi de aktif olarak sömürülüyor. yani sıfır-gün (zero-day) dedikleri olay, yamadan önce kötü niyetli tipler bulmuş ve kullanmış bile.

bu sefer skia ve v8 motorlarında sorun var. skia bildiğiniz 2d grafik kütüphanesi, v8 de chrome’un javascript motoru. ikisi de kritik bileşenler yani.

zafiyet detayları

CVE-2026-3909 - skia’daki out-of-bounds write

  • cvss skoru: 8.8 (yüksek/ciddi)
  • zafiyet türü: out-of-bounds write (sınır dışı yazma)
  • etkilenen bileşen: skia 2d grafik kütüphanesi
  • saldırı vektörü: özel hazırlanmış html sayfası üzerinden uzaktan sömürü

bu CVE-2026-3909 açığı şöyle ki: saldırgan özel hazırlanmış bir html sayfası ile bellek sınırlarının dışına yazma yapabiliyor. yani tampon taşması ailesinden klasik bir zafiyet. skia grafik işlemlerinde kullanıldığı için, kötü niyetli bir web sitesine girdiğinizde tetiklenebilir.

ikinci sıfır-gün: v8 motor zafiyeti

haberde ikinci bir sıfır-gün olduğu belirtilmiş ama detayları henüz tam açıklanmamış. google klasik hamlesi yapmış: önce yamayı yayınla, kullanıcılar güncelleme yapsın, sonra detayları açıkla. akıllıca aslında, yoksa herkes hemen sömürmeye başlar.

edit: v8 javascript motorunda olan açıklar genelde çok kritik oluyor çünkü tarayıcının beyni burası. her web sitesi javascript çalıştırdığı için saldırı yüzeyi çok geniş.

etkilenen sistemler

platformdurum
chrome (windows)✅ etkileniyor
chrome (macos)✅ etkileniyor
chrome (linux)✅ etkileniyor
chrome (android)✅ etkileniyor
chromium tabanlı tarayıcılar⚠️ muhtemelen etkileniyor
edge, brave, opera⚠️ kendi yamalarını bekleyin

ne yapmanız gerekiyor

bireysel kullanıcılar için

chrome’u hemen güncelleyin. işlem çok basit:

  1. chrome’u açın
  2. sağ üst köşedeki üç nokta menüsüne tıklayın
  3. “yardım” > “google chrome hakkında” seçin
  4. otomatik güncelleme başlayacak
  5. güncelleme bitince “yeniden başlat” düğmesine basın

ya da adres çubuğuna şunu yazın:

chrome://settings/help

güncel versiyon numarasını kontrol edin, yamalı sürüm olmalı.

sistem yöneticileri için

agalar, kurumsal ortamlarda chrome kullananlar dikkat:

windows ortamı için:

# mevcut chrome versiyonunu kontrol et
(Get-Item "C:\Program Files\Google\Chrome\Application\chrome.exe").VersionInfo.FileVersion

# google update servisini kontrol et
Get-Service -Name gupdate,gupdatem

# manuel güncelleme için (kurumsal msi)
# google admin console'dan son versiyonu indirip deploy edin

linux ortamı için:

# debian/ubuntu
sudo apt update
sudo apt install --only-upgrade google-chrome-stable

# rhel/centos/fedora
sudo dnf upgrade google-chrome-stable

# versiyon kontrolü
google-chrome --version

macos ortamı için:

# homebrew kullanıyorsanız
brew upgrade --cask google-chrome

# versiyon kontrolü
/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --version

chromium tabanlı diğer tarayıcılar

arkadaşlar edge, brave, opera, vivaldi gibi chromium tabanlı tarayıcı kullanıyorsanız, onların da kendi güncellemelerini bekleyin. genelde google yamayı yayınladıktan birkaç gün sonra diğerleri de kendi versiyonlarını çıkarır.

kurumsal ortamlar için ek öneriler

  • acil aksiyon: chrome kullanan tüm sistemlerde güncellemeyi zorunlu hale getirin
  • group policy: windows ortamında gpo ile otomatik güncellemeyi aktif edin
  • yedek tarayıcı: kritik sistemlerde geçici olarak firefox gibi alternatif tarayıcı kullanabilirsiniz
  • ağ izleme: şüpheli javascript aktivitelerini loglardan takip edin
  • kullanıcı eğitimi: şüpheli web sitelerine girmemeleri konusunda uyarı gönderin

geçici çözümler (yamayı hemen uygulayamayanlar için)

dikkat: bunlar kalıcı çözüm değil, sadece geçici:

  1. javascript devre dışı: kritik olmayan sistemlerde geçici olarak js’yi kapatabilirsiniz (ama çoğu site çalışmaz)
  2. site izolasyonu: chrome’un site isolation özelliğinin aktif olduğundan emin olun (varsayılan açık zaten)
  3. sandbox kontrolü: chrome’un sandbox modunda çalıştığını doğrulayın
  4. güvenli mod: chrome.exe --safe-mode ile başlatabilirsiniz

ama bunların hiçbiri gerçek çözüm değil, hemen güncelleyin diyorum.

saldırı senaryosu

şöyle bir senaryo düşünün:

  1. saldırgan özel hazırlanmış bir web sitesi kurar
  2. phishing, reklam ağları veya kompromize edilmiş siteler üzerinden kurbanı bu siteye yönlendirir
  3. kurban siteyi chrome ile açar
  4. CVE-2026-3909 açığı tetiklenir
  5. skia kütüphanesindeki bellek hatası sayesinde saldırgan kod çalıştırabilir
  6. sandbox’tan kaçış yapıp sistem üzerinde tam kontrol sağlayabilir

spoiler: bu tür sıfır-gün açıklar genelde devlet destekli saldırganlar veya gelişmiş tehdit grupları (apt) tarafından kullanılıyor. yani hedefli saldırılar için ideal.

google’ın açıklaması

google, bu zafiyetlerin “aktif olarak sömürüldüğünün farkında olduklarını” (aware of exploits in the wild) belirtti. ama her zamanki gibi detayları paylaşmadılar:

  • kim buldu? bilgi yok
  • kim sömürüyor? bilgi yok
  • kaç kişi etkilendi? bilgi yok
  • hangi ülkeler hedefte? bilgi yok

klasik google şeffaflığı işte. ama haklılar da, detayları açıklarlarsa herkes sömürmeye başlar.

tarihçe: chrome’da sıfır-gün açıklar

arkadaşlar bu chrome için 2026 yılında yamalanan ilk sıfır-gün açıkları değil maalesef. google düzenli olarak bu tür açıkları buluyor ve yamalıyor:

  • 2025’te toplam 8 sıfır-gün yamalandı
  • 2024’te 10 tane vardı
  • çoğu v8 ve skia bileşenlerinde

yani chrome kullanıyorsanız otomatik güncellemeyi mutlaka açık tutun.

güvenlik önerileri (genel)

bu vakadan çıkaracağımız dersler:

  1. otomatik güncelleme: tarayıcınızın otomatik güncelleme özelliğini asla kapatmayın
  2. yedek tarayıcı: tek tarayıcıya bağımlı kalmayın, alternatif bulundurun
  3. uzantı kontrolü: gereksiz browser extension’ları kaldırın, saldırı yüzeyini azaltın
  4. şüpheli siteler: bilinmeyen kaynaklardan gelen linklere tıklamayın
  5. kurumsal politika: şirketlerde tarayıcı güncelleme politikası olmalı

kaynaklar

özet: google chrome’da iki sıfır-gün açığı aktif olarak sömürülüyor. CVE-2026-3909 numaralı skia zafiyeti ve v8’deki ikinci açık ciddi tehdit oluşturuyor. hemen chrome’unuzu güncelleyin, yoksa kötü niyetli tipler sisteminize girebilir. kurumsal ortamlarda acil aksiyon planı devreye alın.

edit: chromium tabanlı diğer tarayıcıları da unutmayın, onlar da etkilenebilir.

son not: arkadaşlar bu tür haberleri ciddiye alın. “bana bir şey olmaz” demeyin, sıfır-gün açıkları sessiz sedasız sömürülür. 5 dakikanızı ayırın, tarayıcınızı güncelleyin, kahvenizi için, işinize dönün.

Bu içerik yapay zeka tarafından oluşturulmuştur.