chrome'da yeni sıfır-gün açığı, aktif sömürülüyor - acil güncelleyin

Posted on 2 Nis 2026

arkadaşlar, google bugün chrome için acil güvenlik güncellemesi yayınladı. toplam 21 tane açık kapatmış ama içlerinde bir tanesi sıfır-gün açığı ve aktif olarak sömürülüyor. hemen güncelleyin, sonra “benim başıma gelmez” demeyin.

ne var ne yok

CVE-2026-5281 diye geçen bu açık, chrome’un webgpu implementasyonu olan dawn’da bulunmuş. use-after-free (yani kullanıldıktan sonra tekrar kullanılma) türünde bir açık bu. ciddiyet seviyesi “high” yani yüksek olarak belirlenmiş. cvss skoru henüz açıklanmamış ama google’ın acil yama çıkarması ve aktif sömürüldüğünü söylemesi durumun ciddiyetini gösteriyor.

spoiler: google detay vermiyor şu an, çünkü çoğu kullanıcı henüz yamalamamış. klasik hareket, önce yamayı yayınla, sonra detayları açıkla ki saldırganlar daha fazla istismar edemesin.

dawn nedir, webgpu nedir

dawn, webgpu standardının açık kaynaklı ve cross-platform bir implementasyonu. webgpu ise web tarayıcılarının gpu’ya doğrudan erişmesini sağlayan yeni nesil bir api. yani oyun, 3d grafik, makine öğrenmesi gibi işleri tarayıcıda hızlı yapmak için kullanılıyor. bu tür düşük seviyeli api’lerde açık bulunması genelde kötü haber oluyor çünkü sistem kaynaklarına yakın erişim sağlıyorlar.

etkilenen sistemler

PlatformDurum
Chrome (tüm platformlar)✅ Etkileniyor
Windows✅ Etkileniyor
macOS✅ Etkileniyor
Linux✅ Etkileniyor
Android✅ Etkileniyor
ChromeOS✅ Etkileniyor

yani kısacası chrome kullanıyorsanız hangi işletim sisteminde olursanız olun, güncelleyin.

hemen yapmanız gerekenler

chrome otomatik güncelleniyor ama bazen tembellik yapıyor. şunu yapın:

manuel güncelleme kontrolü:

  1. chrome’u açın
  2. sağ üst köşedeki üç noktaya tıklayın
  3. “help” → “about google chrome” yolunu izleyin
  4. güncelleme varsa otomatik indirecektir
  5. “relaunch” butonuna basın

komut satırından kontrol (linux):

# chrome versiyonunu kontrol edin
google-chrome --version

# güncel versiyon olmalı (tarih: nisan 2026)
# versiyon numarası yazıda belirtilmemiş ama en son kararlı sürüm olmalı

kurumsal ortamlar için:

# group policy ile otomatik güncellemeyi zorunlu kılın
# windows için registry:
reg add "HKLM\SOFTWARE\Policies\Google\Chrome" /v "AutoUpdateCheckPeriodMinutes" /t REG_DWORD /d 60 /f

# linux için /etc/chromium/policies/managed/ altına policy dosyası ekleyin

kurumsal ortamlar dikkat

agalar, şirket ortamında chrome kullanıyorsanız ve merkezi yönetim yapıyorsanız:

  • google admin console’dan uzaktan güncelleme tetikleyin
  • chromeos cihazlarınız varsa, auto-update policy’sinin açık olduğundan emin olun
  • test ortamında önce deneyin ama fazla beklemeyin, bu aktif sömürülüyor
  • kullanıcılara duyuru yapın, tarayıcılarını yeniden başlatmalarını isteyin

geçici çözüm var mı

yok arkadaşlar. bu tür düşük seviyeli açıklar için geçici çözüm üretmek zor. tek çözüm güncellemek.

eğer kritik bir sistemde hemen güncelleme yapamıyorsanız:

  • webgpu kullanan sitelere erişimi geçici olarak kısıtlayın (zor ama mümkün)
  • chrome’u kapatın, başka tarayıcı kullanın geçici olarak (firefox, edge vs)
  • ağ seviyesinde şüpheli webgpu içeriklerini engelleyin (waf kuralları ile)

ama bunlar gerçekçi değil, en iyisi yamalamak.

diğer 20 açık

google toplamda 21 açık kapattı demiştik. diğer 20’sinin detayları tam açıklanmamış ama aralarında:

  • çeşitli component’lerde use-after-free açıkları
  • type confusion açıkları
  • out-of-bounds memory access sorunları

var. bunların cvss skorları ve cve numaraları henüz tam açıklanmamış. google güvenlik sayfasında ileride yayınlanacaktır.

edit: google, bu açıkları bulan güvenlik araştırmacılarına ödül vermiş. bug bounty programı sayesinde bulunmuş açıklar bunlar.

peki kim sömürüyor bu açığı

google detay vermemiş. ama sıfır-gün açıkları genelde:

  • devlet destekli saldırganlar (apt grupları)
  • gelişmiş siber suç örgütleri
  • hedefli saldırı yapan gruplar

kullanır. yani “rastgele internette geziniyorum, bana bir şey olmaz” demeyin. hedefli saldırılarda özellikle yüksek profilli kişiler risk altında.

sonuç

arkadaşlar, chrome kullanıyorsanız hemen güncelleyin. CVE-2026-5281 aktif sömürülüyor ve bu tür açıklar genelde kötü sonuçlar doğuruyor.

yapmanız gereken tek şey:

  1. chrome’u açın
  2. “about chrome” sayfasına gidin
  3. güncellemeyi bekleyin
  4. tarayıcıyı yeniden başlatın

5 dakikanızı alır, ama sizi büyük beladan kurtarabilir.

dikkat: kurumsal ortamlarda it ekipleri, kullanıcılara duyuru yapın ve merkezi güncelleme tetikleyin. beklemeyin.

kaynaklar

Bu içerik yapay zeka tarafından oluşturulmuştur.