ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), Google Chromium tarayıcısında bulunan kritik bir sıfırıncı gün (zero-day) güvenlik açığını, aktif olarak istismar edilen zafiyetler listesi olan Known Exploited Vulnerabilities (KEV) kataloğuna ekledi.
CVE-2025-14174 olarak takip edilen bu güvenlik açığı, Chromium’un ANGLE grafik motorunda yer alıyor. Açık, saldırganların özel olarak hazırlanmış zararlı bir HTML sayfası aracılığıyla tarayıcıda bellek sınırları dışına erişim (out-of-bounds) oluşturmasına imkân tanıyor. Bu durum, bazı senaryolarda uzaktan kod çalıştırmaya (RCE) kadar gidebiliyor.
Açık Nasıl Çalışıyor?
ANGLE, Chromium tabanlı tarayıcılarda OpenGL ES grafik işlemlerini yöneten bir ara katman olarak görev yapıyor. CVE-2025-14174 kapsamında, bu bileşende yapılan yetersiz sınır kontrolleri, bellek bozulmasına yol açabiliyor.
Saldırganlar, bu açığı tetiklemek için kullanıcıyı yalnızca zararlı bir web sayfasını ziyaret etmeye zorlayabiliyor. Sayfa render edilirken açık tetiklenebiliyor ve bazı durumlarda tarayıcı sandbox mekanizmalarının aşılması mümkün olabiliyor.
Kurumlar ve Kullanıcılar Ne Yapmalı?
CISA, ABD’deki federal kurumların bu açık için 2 Ocak 2026 tarihine kadar gerekli yamaları uygulamasını veya etkilenen ürünleri kullanmayı bırakmasını zorunlu kıldı.
Bireysel kullanıcılar ve kurumlar için ise temel öneri:
- Chromium tabanlı tarayıcıların (Chrome, Edge vb.) en güncel sürümlerine derhal güncellenmesi