chrome v8'de aktif sömürülen sıfır-gün açığı var, hemen güncelleyin

Posted on 9 Haz 2026

arkadaşlar google yine acil güncelleme saldı. chrome’da toplam 74 tane açık kapatmış ama içlerinden biri aktif olarak sömürülüyor. CVE-2026-11645 diye geçiyor bu açık, v8 motorunda (chrome’un javascript ve webassembly motoru yani) bir sınır dışı bellek erişimi (out-of-bounds memory access) problemi var.

ne bu açık tam olarak?

CVE-2026-11645 açığı cvss skoru 8.8 ile yüksek seviye bir zafiyet. v8 motorunda sınır dışı okuma ve yazma (out-of-bounds read and write) yapılabiliyor. yani saldırgan belleğin olmaması gereken yerlerini okuyup yazabiliyor, bu da uzaktan kod çalıştırmaya (rce) kadar gidebilecek bir durum.

spoiler: bu açık vahşi ortamda (in the wild) aktif olarak sömürülüyor. google’ın tabiriyle “exploit exists in the wild” yani birisi bunu zaten kullanıyor.

chrome 149.0.7827.103 versiyonundan önce bu açık var. yani bu versiyondan düşük herhangi bir chrome kullanıyorsanız risk altındasınız.

etkilenen sistemler

Sistem/UygulamaDurum
Chrome (< 149.0.7827.103)🔴 Etkileniyor
Chrome (>= 149.0.7827.103)✅ Güvenli
Chromium tabanlı tarayıcılar🟠 Muhtemelen etkileniyor
Edge, Brave, Opera🟠 Kendi güncellemelerini bekleyin

ne yapmanız lazım?

agalar şimdi yapmanız gereken çok basit: hemen chrome’u güncelleyin.

windows ve mac için:

1. Chrome'u açın
2. Sağ üst köşedeki üç nokta menüsüne tıklayın
3. Yardım > Google Chrome Hakkında
4. Otomatik güncelleme başlayacak
5. Güncelleme bitince "Yeniden Başlat" butonuna basın

linux için:

# debian/ubuntu tabanlı sistemler
sudo apt update
sudo apt upgrade google-chrome-stable

# fedora/rhel tabanlı sistemler
sudo dnf upgrade google-chrome-stable

# arch linux (aur)
yay -Syu google-chrome

versiyon kontrolü:

chrome’unuzun güncel olup olmadığını kontrol etmek için:

chrome://settings/help

adresine gidin. eğer 149.0.7827.103 veya üstü bir versiyon görüyorsanız güvendesiniz.

kurumsal ortamlar için

beyler kurumsal ortamlarda group policy veya jamf gibi araçlarla merkezi güncelleme yapıyorsanız:

# windows için group policy
# chrome admx template'lerini güncelleyin
# UpdateDefault policy'sini "Always allow updates" yapın

# linux için ansible playbook örneği
---
- name: Chrome güncelleme
  hosts: all
  tasks:
    - name: chrome güncelle
      apt:
        name: google-chrome-stable
        state: latest
      when: ansible_os_family == "Debian"

dikkat: önce test ortamında deneyin bu güncellemeleri, sonra production’a alın. ama bu sefer fazla beklemeyin, aktif sömürü var çünkü.

chromium tabanlı diğer tarayıcılar

edge, brave, opera, vivaldi gibi chromium tabanlı tarayıcılar da bu açıktan etkileniyor olabilir. onların kendi güncelleme döngülerini bekleyin veya geçici olarak firefox’a geçin (şaka değil).

edit: microsoft edge genelde chrome’dan birkaç gün sonra güncelleme alır, takipte kalın.

geçici çözüm yok mu?

maalesef bu tür bellek bozulması (memory corruption) açıkları için geçici çözüm pek yok. tek çözüm güncelleme.

ama yine de risk azaltma için:

  • Şüpheli sitelere girmeyin (klasik tavsiye ama işe yarıyor)
  • JavaScript gerektirmeyen işleriniz varsa ublock origin gibi eklentilerle script’leri bloklayin
  • Kritik işler için güncel firefox kullanın (geçici olarak)
  • Sandbox’lı ortamlarda chrome kullanın (firejail, bubblewrap vs)
# firejail ile chrome çalıştırma (linux)
firejail --private google-chrome

teknik detaylar (meraklılarına)

v8 motorundaki out-of-bounds erişim zafiyetleri genelde şöyle çalışır:

  1. Saldırgan özel hazırlanmış javascript kodu çalıştırır
  2. V8’in jit (just-in-time) derleyicisi veya garbage collector’ında bir hata tetiklenir
  3. Belleğin sınırları dışına okuma/yazma yapılır
  4. Bu sayede hassas bilgiler okunur veya kod çalıştırılır

cvss 8.8 skoru şu anlama geliyor:

  • Attack Vector: Network (ağ üzerinden sömürülebilir)
  • Attack Complexity: Low (sömürülmesi kolay)
  • Privileges Required: None (hiçbir yetki gerekmiyor)
  • User Interaction: Required (kullanıcının bir siteye girmesi lazım)

yani saldırgan kötü niyetli bir site hazırlayıp sizi oraya çekerse, hiçbir ek işlem yapmadan sisteminizi ele geçirebilir.

google’ın açıklaması

google’ın güvenlik bülteninde şu bilgiler var:

“Out-of-bounds read and write in V8 in Google Chrome prior to 149.0.7827.103 allowed a remote attacker to potentially exploit heap corruption via a crafted HTML page.”

yani özel hazırlanmış bir html sayfası yeterli bu açığı tetiklemek için.

spoiler: google henüz saldırının detaylarını paylaşmadı (klasik hareket, önce herkes yamasın diye). ama “exploit in the wild” demişse ciddiye alın.

diğer 73 açık

bu güncelleme toplam 74 açık kapatıyor. diğer 73’ü şunlar:

  • 12 tanesi “high” seviye
  • 48 tanesi “medium” seviye
  • 13 tanesi “low” seviye

detayları merak edenler google’ın chrome releases bloğuna bakabilir ama önemli olan şu: hepsi bu güncellemede kapatılmış, o yüzden güncelleyin.

timeline

  • 9 haziran 2026: google güncellemeyi yayınladı
  • 9 haziran 2026: aktif sömürü tespit edildi
  • şu an: siz hala bu yazıyı okuyorsunuz, hemen chrome’u güncelleyin

kaynaklar

sonuç

arkadaşlar özetleyelim: chrome’da aktif sömürülen sıfır-gün açığı var, CVE-2026-11645. cvss 8.8, v8 motorunda bellek bozulması. şu an bu satırı okuyorsanız chrome’u kapatın, güncelleyin, yeniden başlatın.

geçici çözüm yok, tek çare güncelleme. kurumsal ortamlardaysanız önceliği yükseğe alın, test edin, yayınlayın.

yedek tarayıcı olarak firefox’u hazır bulundurun, böyle durumlarda işinize yarar.

hadi kolay gelsin, güncellemeye.

Bu içerik yapay zeka tarafından oluşturulmuştur.