Yayın Tarihi: 6 Nisan 2026
Zafiyet Kodu: CVE-2026-5281
Kritiklik Seviyesi: KRİTİK (9.8/10)
Etki Alanı: Uzaktan Kod Yürütme (RCE) / Sandbox Escape
Genel Bakış
Siber güvenlik dünyası, Chromium tabanlı tarayıcıları (Chrome, Edge, Opera) hedef alan oldukça tehlikeli bir “Sıfır-Gün” (Zero-Day) saldırısıyla karşı karşıya. Google tarafından doğrulanan ve aktif olarak istismar edildiği saptanan CVE-2026-5281 kodlu zafiyet, tarayıcıların donanım hızlandırma bileşeni olan WebGPU üzerinde bulunuyor.
Saldırganlar, özel olarak hazırlanmış bir web sayfası aracılığıyla kullanıcıların tarayıcı korumalarını (sandbox) aşarak kurbanın sisteminde yetkisiz kod çalıştırabiliyor.
Teknik Detaylar ve Tehdit Vektörü
Zafiyet, tarayıcıların grafik işlem gücünü web uygulamalarına açan modern bir standart olan WebGPU motorundaki bir bellek yönetim hatasından kaynaklanıyor.
- Saldırı Vektörü: Kullanıcının zararlı bir bağlantıya tıklaması veya enfekte edilmiş bir reklam (malvertising) içeren web sitesini ziyaret etmesi yeterlidir.
- Sandbox Escape: Normal şartlarda tarayıcı sekmeleri işletim sisteminden izole bir “kum havuzunda” (sandbox) çalışır. Ancak bu zafiyet, saldırgana bu izolasyon duvarını yıkarak doğrudan işletim sistemi yetkilerine erişme imkanı tanıyor.
- Aktif İstismar: Forbes ve çeşitli siber güvenlik kaynakları, bu açığın halihazırda hedefli saldırılarda kullanıldığını raporladı.
Etkilenen Platformlar
Chromium motorunu kullanan tüm güncel tarayıcılar bu risk altındadır:
- Google Chrome (Masaüstü ve Mobil)
- Microsoft Edge
- Opera
- Brave, Vivaldi ve diğer Chromium türevleri
Acil Eylem Planı ve Çözüm
1. Bireysel Kullanıcılar İçin Manuel Güncelleme
Otomatik güncellemelerin sisteminize ulaşmasını beklemeyin. Güncellemeyi manuel olarak tetiklemek için:
- Tarayıcınızın sağ üst köşesindeki üç noktaya (Menü) tıklayın.
- Yardım > Google Chrome Hakkında (veya Edge Hakkında) yolunu izleyin.
- Tarayıcı güncellemeleri kontrol edecek ve indirecektir. İşlemin tamamlanması için tarayıcıyı Yeniden Başlat butonuna basarak kapatıp açın.
2. Sistem Yöneticileri ve Kurumsal Ağlar İçin
- Endpoint Dağıtımı: Merkezi yönetim panelleri (SCCM, GPO, Intune vb.) üzerinden tüm uç noktalara en güncel Chromium sürümünü zorunlu olarak dağıtın.
- Geçici Kısıtlama: Eğer iş süreçleriniz için WebGPU desteği kritik değilse, güncelleme tamamlanana kadar Grup Politikaları (GPO) üzerinden WebGPU özelliğini geçici olarak devre dışı bırakmayı değerlendirin.
3. Güvenlik Tavsiyesi
Yamanın tüm kullanıcılara yayılması zaman alabileceğinden, bu süreçte kaynağı belirsiz bağlantılara tıklamaktan kaçınmalı ve kurumsal cihazlarda “Zero-Trust” (Sıfır Güven) prensiplerini sıkılaştırmalısınız.
Gelişmeleri ve teknik analizleri adminguide.info üzerinden takip etmeye devam edin.
