Chrome'un beşinci aktif sıfır günü: V8 açığı nedir ve ne yapıyor
Google, 27 Nisan 2026'da bildirilen bir açığı 74 güvenlik yaması içeren Chrome 149.0.7827.102 ve .103 güncellemesiyle kapattı. CVE-2026-11645 olarak kodlanan açık, Chrome'un V8 JavaScript motorunda bir out-of-bounds okuma/yazma hatası. CVSS puanı 8.8 olan bu açık, özel olarak hazırlanmış bir HTML sayfası üzerinden tetiklenebiliyor ve Google'ın teyit ettiğine göre aktif olarak sömürülüyor. Saldırganlar bu açığı gerçek dünyada kullanıyor—teorik bir tehdit değil.
Bu, 2026'da Chrome'da aktif sömürü tespit edilen beşinci sıfır gün açığı. Önceki dört açık: CVE-2026-2441, CVE-2026-3909, CVE-2026-3910 ve CVE-2026-5281. Yılın henüz ortasında beş ayrı sıfır günün aktif olarak kullanılması olağandışı. Chrome'un milyarlarca kullanıcısı göz önüne alındığında, her bir aktif açık, hedefli saldırılar için geniş bir saldırı yüzeyi anlamına geliyor.
CVE-2026-11645'i bulan araştırmacı "303f06e3" rumuzunu kullanıyor ve Google'dan 55.000 dolar ödül aldı. V8, Chrome'un JavaScript kodunu makine diline çeviren kritik motorudur. Bu motorda bir bellek hatası, kötü amaçlı bir sayfanın tarayıcı sandbox'ı içinde rastgele kod çalıştırmasına olanak tanır. Sandbox, tehdidin bilgisayarınızın geri kalanına sıçramasını engelleyen bir güvenlik katmanı. Ancak sandbox'ın kendisi de kusursuz değildir.
2026 neden bu kadar tehlikeli: beş açık, 429 patch, bir tarayıcının kapasitesi limitinde
Chrome 149, Google'ın şimdiye kadar yayınladığı en büyük güvenlik paketi. Toplamda 429 güvenlik açığı bu güncellemede kapatıldı—tek bir sürümde şimdiye kadarki rekor sayı. 100'den fazlası kritik veya yüksek şiddet seviyesinde sınıflandırılmış. Bunlardan biri özellikle çarpıcı: CVE-2026-10881, CVSS puanı 9.6 olan ve ANGLE grafik motorunda bir sandbox kaçışı sağlayan açık. Google bu açığı bildiren araştırmacıya 97.000 dolar ödedi.
Sandbox içinde kod çalıştırmak, saldırganın iş akışında sadece bir adım. Asıl hedef, sandbox'tan kaçıp işletim sisteminde doğrudan kod çalıştırmak. CVE-2026-11645 gibi V8 açıkları, sandbox'a giriş biletini veriyor. CVE-2026-10881 gibi ANGLE açıkları ise çıkış kapısını açıyor. İki açığı birleştiren bir saldırgan, tarayıcıda gezinen bir kullanıcının bilgisayarında doğrudan komut çalıştırabilir.
429 açık, Google'ın güvenlik mühendisleri, harici araştırmacılar ve —giderek daha fazla— yapay zeka araçlarının bulduğu hataların toplamı. Bir tarayıcının kapatması gereken açık sayısı arttıkça, insanların bu kadar büyük bir kod tabanını manuel olarak taramasının sınırlarına dayanıyoruz. Chrome'un kod tabanı milyonlarca satır içeriyor ve her güncelleme yeni özellik, yeni kütüphane, yeni API demek—yani yeni saldırı vektörleri.
AI, açıkları insan ekiplerinden daha hızlı buluyor ama hangi açıkları?
depthfirst adlı otonom bir AI aracı, FFmpeg'in 1,5 milyon satır C kodunda 21 doğrulanmış sıfır gün açığı buldu. Asıl çarpıcı olan, bazı açıkların 15 ila 20 yıldır kod tabanında saklanmış olması. Bir stack overflow hatası 2003'e kadar geri gidiyor. İnsanlar bu hataları görmedi veya inceleme araçları yeterince hassas değildi.
Google daha önce kendi Big Sleep aracıyla ve Anthropic'in Mythos ajanıyla da benzer sonuçlar elde etmişti. Yakın zamanda bir başka otonom araç, Redis'te iki yıldır fark edilmemiş, kimlik doğrulama gerektiren bir uzaktan kod çalıştırma açığı buldu. Bu açık, Redis 7.2.0'dan beri mevcuttu.
Google, AI tarafından üretilen güvenlik raporlarını değerlendirmek için Nisan 2026'da ödül programını değiştirdi. Artık uzun yazılı açıklamalar yerine, kısa ve doğrudan yeniden üretilebilir PoC (proof-of-concept) örnekleri istiyorlar. Nedeni açık: AI araçları, binlerce potansiyel hatayı hızlı bir şekilde işaretleyebiliyor, ancak hangisinin gerçekten sömürülebilir ve öncelikli olduğunu belirlemek hâlâ insanların işi.
AI araçlarının bulduğu şey genellikle eski kod tabanlarındaki belirsiz hatalar. FFmpeg, Redis gibi projeler onlarca yıldır var olan, yaygın kullanılan ancak çok az insanın derinlemesine incelediği kod parçaları içeriyor. Bu araçlar, deterministik hata tarama algoritmalarını fuzzing teknikleriyle birleştiriyor ve insan gözünün atladığı şeyleri yakalıyor. Ancak AI'nın bulduğu açıklar genellikle belirli girdiler, belirli koşullar gerektiriyor. Sosyal mühendislik, kullanıcı hatası veya karmaşık exploit zincirleri kurmak hâlâ insan uzmanlığı gerektiriyor.
Chromium tabanlı tarayıcılar da etkilendi: Edge, Brave, Opera, Vivaldi'nin güncelleme durumu
CVE-2026-11645, yalnızca Google Chrome'u etkilemiyor. Edge, Brave, Opera ve Vivaldi gibi Chromium tabanlı tüm tarayıcılar aynı V8 motorunu kullanıyor. Microsoft, Brave Software, Opera ve Vivaldi'nin kendi güncelleme takvimlerini yayınlamaları gerekiyor. Bu tarayıcılar genellikle Google'ın yamasını aldıktan sonra kendi derlemelerini hazırlar ve dağıtır—bu da birkaç gün gecikme anlamına gelebilir.
Edge'in güncelleme mekanizması Windows Update'e entegre. Microsoft genellikle Chrome güncellemelerinin ardından 24-48 saat içinde yama yayınlar. Brave ve Vivaldi, kendi güncelleme kanallarını kullanır ve topluluğa bağlı olarak değişken hızda güncelleme yayınlar. Opera, Chromium fork'unu daha sık özelleştirir ve güncelleme süreci biraz daha uzun olabilir.
Chrome 149.0.7827.102 veya daha yüksek sürüme sahipseniz, CVE-2026-11645 yaması yüklenmiştir. Diğer tarayıcılar için üreticinin yayınladığı güvenlik bültenlerini takip etmeniz gerekiyor. Google bir yama yayınladığında, haber açık hale geliyor. Saldırganlar, yamanın detaylarını inceleyerek sömürü kodunu tersine mühendislikle çıkarabilir ve henüz güncellenmemiş kullanıcılara saldırabilir. Bu yüzden güncelleme hızı kritik.
Out-of-bounds ve sandbox kaçışı arasındaki fark nedir
Out-of-bounds erişimi, bir programın bellekte ayrılan alanın dışına okuma ya da yazma yapması demek. C gibi düşük seviyeli dillerde bellek güvenliği otomatik değildir. CVE-2026-11645, V8'in JavaScript kodunu derlerken ya da çalıştırırken bir yerde sınır kontrolünü yapmaması sonucu oluşmuş.
Saldırgan, özel hazırlanmış bir HTML sayfasında JavaScript kodu gömerek bu hatayı tetikliyor. Kod, V8'e bellekte ayrılan alanın dışında bir yere veri yazmasını veya okumasını söylüyor. Bu işlem, tarayıcının sandbox içinde rastgele kod çalıştırılmasına olanak tanıyor. Ancak sandbox, tehdidin işletim sistemine yayılmasını engelleyen bir izolasyon katmanı.
Sandbox kaçışı ise bambaşka bir şey. Chromium'da, sayfalar renderer sürecinde çalışır ve bu süreç, işletim sisteminin sistem çağrılarına, dosya sistemine ve ağ kaynaklarına kısıtlı erişime sahip. CVE-2026-10881 gibi bir ANGLE açığı, bu sınırları aşıp işletim sisteminde doğrudan komut çalıştırmanıza izin verir.
Bir saldırganın iş akışı şöyle işliyor: Önce V8'deki gibi bir açıkla sandbox içinde kod çalıştırın. Sonra ANGLE gibi daha derin bir bileşendeki bir açıkla sandbox'tan kaçın. Bu exploit zinciri yöntemi, modern tarayıcı saldırılarının standart mimarisi haline geldi. Google, Apple ve Mozilla, sandbox'ı güçlendirmek için sürekli yeni savunma katmanları ekliyor. Ancak her yeni katman, yeni bir potansiyel hata kaynağı.
CVE-2026-11645, tek başına sandbox dışında kod çalıştırmanıza izin vermiyor. Ancak CVE-2026-10881 gibi bir açıkla birlikte kullanıldığında, tam sistem kontrolü sağlayabilir. Google'ın 97.000 dolar gibi yüksek bir ödül vermesi, sandbox kaçışlarının tarayıcı güvenliğinde ne kadar kritik olduğunu gösteriyor.
Chrome güncelleme kontrol listesi
Chrome, genellikle arka planda otomatik güncelleme yapar, ancak tarayıcıyı haftalarca kapatmadan kullanıyorsanız güncelleme beklemede kalabilir. Şu adımları izleyin:
1. Chrome'u güncelleyin. Üç nokta menüsünden Ayarlar → Hakkında'ya girin. Chrome otomatik olarak güncellemeleri kontrol eder ve indirir. Sürüm numarası 149.0.7827.102 (Linux) veya .103 (Windows/macOS) veya daha yüksek olmalı.
2. Tarayıcıyı yeniden başlatın. Güncelleme indikten sonra, Chrome'u yeniden başlatmadan yama etkinleşmez. Sekmeleri kaydedip yeniden başlatın.
3. Chromium tabanlı diğer tarayıcıları kontrol edin. Edge, Brave, Opera, Vivaldi kullanıyorsanız, ilgili tarayıcının kendi güncelleme mekanizmasını kontrol edin. Microsoft Edge, Windows Update ile senkronize; Brave ve Vivaldi'de tarayıcı içi güncelleme menüsünü kullanın.
4. Şüpheli linklere dikkat edin. CVE-2026-11645, özel hazırlanmış bir HTML sayfası yoluyla tetikleniyor. Bilinmeyen kaynaklardan gelen bağlantıları açmayın, özellikle e-posta ekleri veya mesajlaşma uygulamalarında gelen linkler riskli.
5. Uzantıları gözden geçirin. Tarayıcı uzantıları, tarayıcının iç işlevlerine derin erişim sağlar. Düşük kaliteli veya güncellenmeyen uzantılar, güvenlik açıklarını kötüye kullanma yolları açabilir. Kullanmadığınız uzantıları kaldırın.
6. İşletim sisteminizi güncel tutun. Sandbox kaçışları, işletim sistemindeki ayrıcalık yükseltme açıklarıyla birleştirildiğinde çok daha tehlikeli hale gelir. Windows, macOS ve Linux dağıtımlarınızı düzenli olarak güncelleyin.
Ne değişti?
Beş sıfır günün aktif olarak sömürülmesi, tarayıcı güvenliğinin artık pasif bir iş olmadığını gösteriyor. AI araçları daha fazla açık bulacak, saldırganlar daha hızlı exploit geliştirecek. Chrome versiyonunuzu bugün kontrol edin, yeniden başlatın ve tarayıcınızın otomatik güncelleme ayarının etkin olduğundan emin olun. Chromium'a bağlı diğer tarayıcı kullanıcıları da kendi güncelleme durumlarını kontrol etmelidir—CVE-2026-11645 için kullanılabilecek sömürü kodu mevcut ve saldırganlar henüz güncellenmemiş kullanıcıları hedefliyor.
