Google ve Mozilla tarafından Salı günü (29 Nisan 2025), Chrome 136 ve Firefox 138’in kararlı versiyonlarına yükseltildiği duyuruldu. Bu yükseltme, çok sayıda, yüksek önem dereceli zafiyetler de dahil olmak üzere, bir düzineden fazla güvenlik açığı için yamaları içermektedir.
Chrome 136, sekiz adet güvenlik düzeltmesiyle birlikte kullanıma sunuldu ve bu düzeltmelerin dördü, harici araştırmacılar tarafından rapor edilen kusurları ele almaktadır.
Harici araştırmacılar tarafından bildirilen en kritik güvenlik kusuru, HTML’de tespit edilen yüksek kritikliğe sahip bir yığın arabellek taşması (heap buffer overflow) zafiyeti olan CVE-2025-4096 olarak ifade edilmektedir. Bu zafiyetin raporlanmasıyla araştırmacıya 5.000 dolarlık bir bug bounty ödülü verildiği bildirildi.
Harici araştırmacılar tarafından rapor edilen diğer üç zafiyetin, DevTools’ta orta kritiklikte sınır dışı bellek erişimi (out-of-bounds memory access) ve yetersiz veri doğrulama (insufficient data validation) sorunları ile DevTools’ta düşük kritiklikte uygunsuz bir uygulama (inappropriate implementation) olduğu tespit edildi.
En son Chrome sürümü, Windows ve macOS için 136.0.7103.48/49 ve Linux için 136.0.7103.59 versiyonları olarak dağıtıma sunulmaktadır.
Aynı Salı günü, Mozilla tarafından Firefox 138, ayrıcalık yükseltilmesine (privilege escalation), Sandbox atlatmaya ve potansiyel olarak rastgele kod yürütülmesine (arbitrary code execution) yol açabilecek dört yüksek kritiklik seviyesine sahip zafiyet de dahil olmak üzere 11 zafiyet için yamalarla birlikte yayınlandı.
Tarayıcı güncellemesi ayrıca, bilgi sızdırılmasına (information disclosure), indirme sırasında gizlenmiş dosya uzantısına (obscured file extension during download), bellek bozulmasına (memory corruption), siteler arası istek sahteciliği (Cross-Site Request Forgery – CSRF) saldırılarına ve kod yürütülmesine yol açabilecek altı orta şiddetli kusuru da düzeltti.
Referans
The Hacker News – Google Releases Chrome Patch for Exploit Used in Russian Espionage Attacks
