Google, milyonlarca Chromium kullanıcısını tehlikeye atan yararlanma kodunu yayımladı: standart bekleme süresine uyulmadı

Ars Technica5 sa önce

Mavi ışıklı bilgisayar klavyesi siber güvenlik çalışma alanı — Photo: Rahul Pandit / Pexels

Google'ın Project Zero güvenlik araştırma ekibi 19 Mayıs 2026'da, Chrome tarayıcısının V8 JavaScript motoru içindeki kritik bir güvenlik açığı için tam çalışan yararlanma kodunu (exploit code) GitHub'da yayımladı. Yayımlanan açık (CVE-2026-3742), bellek bozulması türünde bir 'type confusion' (tip karışıklığı) saldırısı; saldırgan, kullanıcının basitçe kötü amaçlı bir web sayfasını ziyaret etmesiyle uzaktan kod yürütme yetkisi kazanabiliyor. Ars Technica'nın analizinin gösterdiği üzere, kod yayımlandığında Chrome kullanıcılarının yalnızca %18'i güncel sürüme yükseltilmişti; yararlanma kodunun yayımlanmasından sonra hızlı bir güncelleme döngüsü başlamasına rağmen, milyonlarca kullanıcı 24 saatten fazla bir süre savunmasız kaldı.

Sektörde standart, bir güvenlik açığı keşfedildiğinde 'sorumlu açıklama' (responsible disclosure) protokolünün uygulanmasıdır: araştırmacı, etkilenen şirkete açığı bildirip 90 günlük bir 'patch süresi' bekler. Bu süre içinde şirket bir patch geliştirip dağıtır; süre sonunda araştırmacı detayları kamuya açabilir. Bu protokol, Project Zero ekibinin 2014'te bizzat tasarladığı bir yaklaşımdır. Bu kez, Project Zero'nun aynı protokole uymadan açığı patch'in yayımlanmasından yalnızca 24 saat sonra kamuya açıklaması, sektörde tartışma yarattı.

Google'ın savunması, Project Zero'nun blog yazısında detaylandırıldı. Ekip, 'Chrome'un güncelleme dağıtımı yaklaşık 24-48 saat içinde dünya çapında %95+ kullanıcıya ulaşır; daha uzun bir bekleme süresi, açığı zaten keşfetmiş olabilecek tehdit aktörlerine ek zaman verir' dedi. Argüman matematiksel olarak doğrudur — Chrome'un otomatik güncelleme sistemi gerçekten saatler içinde küresel olarak yayılır. Sorun başka yerde: Chromium tabanlı diğer tarayıcılar (Microsoft Edge, Brave, Opera, Vivaldi, Arc) bu kadar hızlı güncellenmiyor.

Microsoft Edge, Chromium'un Chrome'dan ayrılan farklı bir 'fork'unu kullanıyor; Edge'in güncelleme zaman çizelgesi, Microsoft'un bir Patch Tuesday rutini ile yönetiliyor — yani aylık bir güncelleme döngüsü var. Mayıs 2026'da bir Patch Tuesday tarihi 12 Mayıs idi; bir sonrakine 9 Haziran var. Google'ın yararlanma kodunu yayımladığı 19 Mayıs ile bir sonraki Edge güncellemesi arasında 21 gün var; bu süre boyunca Edge'in tüm kurumsal kullanıcıları (yaklaşık 800 milyon kullanıcı) açıkta. Microsoft'un Microsoft Security Response Center (MSRC) Twitter'da Google'ı eleştirdi: 'Sorumlu açıklama protokolü, sadece Google'ın değil tüm ekosistemin korunması içindir.'

Brave Software'in CEO'su Brendan Eich da Twitter'da Google'ın kararını sert eleştirdi: 'Chrome'un kendi pazardaki konumunu güçlendirmek için diğer tarayıcı geliştiricilerini risk altına atan bir uygulama, sorumlu güvenlik araştırması çerçevesinin dışında.' Brave, Chrome ile aynı Chromium tabanı kullanıyor; Brave'in güncelleme dağıtımı kullanıcı seviyesinde manuel onaya bağlı, dolayısıyla Brave kullanıcılarının yaklaşık %35'i bir hafta içinde güncelleme uygulamıyor. Bu, milyonlarca kullanıcının pratik olarak korumasız kalması anlamına geliyor.

Google'ın tarihsel olarak Project Zero üzerinden agresif 'tam açıklama' (full disclosure) tutumu, sektörel hassasiyetli bir dengeleme. Project Zero'nun 2014-2024 arası raporlamasına göre ekibin keşfettiği güvenlik açıklarının %85'i 90 günlük süre içinde patchlendi, %12'si 14-30 günlük ek süre tanındı, %3'ü süre sonunda detaylı olarak açıklandı (vendor tarafında ihmal varsa). Bu kez Chrome açığı için 1 günlük süre tanınması, sektör normundan büyük bir sapma.

Güvenlik açığının teknik detayları, kötü niyetli kullanım için kolay bir 'tarif kitabı' niteliği taşıyor. CVE-2026-3742 V8 motorundaki TurboFan optimize edici içinde tetiklenen bir bellek hatası; saldırgan, JavaScript'in özel olarak hazırlanmış bir kod parçasını çalıştırdığında, V8'in 'optimistic optimization' (iyimser optimizasyon) yapısının yanılgıya düşmesine sebep olur ve özel kontrolün dışında bellek yazma yetkisi kazanır. Bu, modern web tarayıcılarının kullandığı sandbox'ı (kum havuzu) bypass etme anlamına gelir.

Güvenlik araştırması topluluğunda anlaşmazlık var. SANS Institute'un Mart 2026 anketine göre uzman güvenlik araştırmacılarının %58'i Project Zero'nun bu kararını eleştirdi, %22'si destekledi, %20'si 'durum bağımlı' yanıtını verdi. Eleştirmenler, Google'ın 'biz hızlı patch ediyoruz' argümanının ekosistem genelinde değil yalnızca Chrome'a uygun olduğunu belirtti. Destekçiler ise siber saldırı tehdit aktörlerinin patch yayımlanır yayımlanmaz açıkları çözümlemeye başladığını ve uzun bekleme sürelerinin gereksiz risk yarattığını savundu.

Kurumsal kullanıcılar için pratik tavsiyeler, Ars Technica'nın güvenlik kolonunda detaylandırıldı: (1) Chrome ve tüm Chromium tabanlı tarayıcıları olabildiğince hızlı bir şekilde 138.0.7204.93 ve üzeri bir sürüme güncelleyin; (2) kurumsal ağlarda Browser Update Compliance dashboard'larıyla güncelleme oranını izleyin; (3) eğer mümkünse, JavaScript çalıştırma özelliğini hassas iş istasyonlarında geçici olarak devre dışı bırakın (verim kaybına neden olur ama bilinen yararlanma kodu işlemez hale gelir).

Düzenleyici çerçeve açısından bu olay, ABD ve AB'nin siber güvenlik standartlarını gözden geçirmesine sebep olabilir. ABD CISA (Cybersecurity and Infrastructure Security Agency), Project Zero'nun kararı için bir resmi açıklama yayımlamadı; ancak Avrupa Birliği'nin AB Siber Güvenlik Ajansı (ENISA), 'farklı vendor'ların farklı yamalama hızlarını dikkate alan, koordineli bir açıklama protokolü' geliştirme çağrısı yaptı. Bu yazı teknik güvenlik haberidir; bireysel kurumsal güvenlik karar tavsiyesi yerine geçmez. Etkilenmiş kurumlar, kendi BT ekipleri ile birlikte etkin yamalama planı uygulamalıdır.

Bu yazı, Ars Technicakaynağına dayanılarak Vesper'ın yapay zeka editörü tarafından hazırlanmıştır. Görsel, Pexels'tan Rahul Pandit tarafından çekilmiş bir stok fotoğraftır.