İnternet dünyasının bel kemiğini oluşturan Chromium motoru, siber güvenlik tarihinin en kritik zafiyetlerinden biriyle sarsılıyor. Google Chrome, Microsoft Edge, Opera ve Vivaldi dahil olmak üzere milyarlarca kullanıcısı olan tarayıcıları etkileyen CVE-2026-5281 kodlu bu açık, siber güvenlikte ulaşılabilecek en yüksek tehlike seviyesi olan CVSS 10.0 (Kritik) puanına sahip.
Zafiyetin 1 Nisan 2026 tarihinde doğrudan CISA KEV (Bilinen İstismar Edilmiş Zafiyetler) listesine eklenmesi, saldırganların bu açığı an itibarıyla sahada aktif olarak kullandığını kanıtlıyor. CUMBUR.NET okuyucuları için; siber güvenlik araştırmacılarının yayınladığı Araştırma Araç Kitleri (Research Toolkits) üzerinden zafiyetin nasıl istismar edildiğini, hacklenen kurban profilini ve son kullanıcıların acilen yapması gerekenleri teknik bir dille detaylandırıyoruz.
⚡ Teknik Analiz: “Google Dawn” Açığı Nasıl İstismar Ediliyor?
Zafiyetin merkezinde, tarayıcıların yüksek performanslı grafik ve hesaplama işlemleri (WebGPU) için kullandığı açık kaynaklı Google Dawn bileşeni yer alıyor. CVE-2026-5281, bellek yönetimindeki ölümcül bir hata olan Use-After-Free (UAF) yani “Serbest Bırakıldıktan Sonra Kullanım” zafiyetidir.
GitHub üzerinde siber güvenlik uzmanlarının analizi için paylaşılan CVE-2026-5281-Research-Toolkit (Araştırma Araç Kiti), saldırının ne kadar sessiz ve yıkıcı olduğunu gözler önüne seriyor. Saldırganın kurbana hiçbir dosya indirtmesine gerek yoktur; sadece zararlı bir web sitesine girmesi yeterlidir (Sıfır-Tıklama / Zero-Click).
🛠️ Exploit Mantığı ve Kod Analizi (Savunma Amaçlı)
Saldırganlar, Use-After-Free (UAF) zafiyetini tetiklemek için doğrudan JavaScript üzerinden tarayıcının WebGPU API’sini manipüle ederler. Saldırıyı durdurmak ve IPS/WAF cihazlarında kural (Rule) yazmak isteyen savunma uzmanları için istismarın kavramsal anatomisi şu şekildedir:
1. Zararlı Tampon (Buffer) Tahsisi: Saldırgan kodu, öncelikle device.createBuffer komutunu kullanarak Google Dawn motorunda grafik işleme için bellekte (RAM) bir alan ayırır.
// Saldırgan bellekte bir GPU tamponu oluşturur
const maliciousBuffer = device.createBuffer({
size: 1024,
usage: GPUBufferUsage.MAP_WRITE | GPUBufferUsage.COPY_SRC
});
2. UAF’nin Tetiklenmesi (Destroy ve MapAsync Karmaşası): Saldırının kilit noktası burasıdır. Saldırgan, tampon bellek eşlemesi (Mapping) devam ederken (veya hemen ardından), nesneyi zorla bellekten silmek için destroy() metodunu çağırır. Chromium’daki Google Dawn zafiyeti tam bu noktada başlar: Obje silinir, ancak JavaScript tarafındaki işaretçi bu silinme işleminden haberdar olmaz
// 1. Eşleme başlatılır
maliciousBuffer.mapAsync(GPUMapMode.WRITE).then(() => {
// 3. Silinmiş belleğe zararlı payload (Shellcode) yazılmaya çalışılır (USE)
let view = new Uint8Array(maliciousBuffer.getMappedRange());
view.set(zararli_shellcode_dizisi);
});
// 2. İşlem bitmeden obje zorla silinir
maliciousBuffer.destroy();
Bu UAF zafiyeti, Google Chrome’un güvenlik Sandbox sistemini delip geçerek doğrudan Windows/macOS/Linux işletim sistemi üzerinde Uzaktan Kod Yürütme (RCE) yetkisi sağlar.
🛡️ Neleri Engellemeliyiz?
-
WAF/IPS İmzaları: Web trafiğinde, JavaScript dosyalarının veya inline
<script>etiketlerinin içerisinde birbirine çok yakın satırlardamapAsync(GPUMapMode.WRITE)vedestroy()metodlarının şüpheli kullanımlarını arayan kural setleri oluşturulmalıdır. -
WASM Denetimi: Gelişmiş saldırganlar bu çağrıları WebAssembly (
.wasm) modülleri üzerinden yapabilir. Ağ trafiğinde şüpheli kaynaktan gelen WASM dosyaları dinamik analize (Sandbox) tabi tutulmalıdır.
🛠️ PoC ve Araştırma Kitine Göre Adım Adım İstismar Süreci:
-
WebGPU Başlatma (Initialization): Kurban, saldırganın hazırladığı HTML sayfasına girdiğinde, sayfa içindeki zararlı JavaScript (veya WebAssembly) kodu sessizce çalışır ve tarayıcıdan bir WebGPU “Cihazı” (Device) talep eder.
-
Bellek Tahsisi (Allocation): Zararlı kod, Google Dawn motoru içerisinde grafik tamponları (Buffer) veya doku (Texture) nesneleri oluşturarak bellekte belirli bir alan ayırır.
-
Zafiyetin Tetiklenmesi (The Free): Saldırgan, Chromium’un kaynak kodundaki mantık hatasını kullanarak, oluşturduğu bu nesneyi bellekten siler. Ancak JavaScript tarafındaki işaretçi (pointer) hala oradadır ve tarayıcı bu nesnenin silindiğinin farkında değildir.
-
Bellek Püskürtme (Heap Spraying / Reallocation): Saldırgan, silinen o bellek alanını anında kendi hazırladığı sahte nesnelerle ve zararlı işletim sistemi komutlarıyla (Shellcode) doldurur.
-
Kodu Yürütme (RCE): JavaScript kodu, silinmiş gibi görünen ama aslında saldırganın komutlarıyla dolu olan o nesneyi tekrar kullanmaya çalıştığında sistem çökmek yerine zararlı kodu çalıştırır.
🏢 Hacklenen Kurumlar Var Mı? Saldırganlar Kim?
Zafiyetin “in the wild” olarak sömürüldüğü Google tarafından resmi olarak doğrulandı. Ancak Google, siber saldırıların kurbanlarını veya hedef alınan spesifik kurumları bilerek gizli tutuyor. Bunun temel nedeni, kurbanları ifşa etmenin diğer bilgisayar korsanlarına yol göstermesini engellemek ve kullanıcılara yama (patch) yapmaları için zaman kazandırmaktır.
Fakat tehdit istihbaratı raporlarına göre; WebGPU mimarisini hedef alan ve Sandbox atlatabilen bu kadar gelişmiş tarayıcı zafiyetleri genellikle iki ana grup tarafından kullanılıyor:
-
Devlet Destekli Hacker Grupları (APT): Gazetecileri, politikacıları, savunma sanayi çalışanlarını ve büyük teknoloji firmalarının yöneticilerini hedef alan nokta atışı casusluk operasyonları.
-
Fidye Yazılımı (Ransomware) Çeteleri: Şirket çalışanlarının tarayıcılarına sızıp kurumun iç ağına (Intranet) atlamak ve Initial Access (İlk Erişim) elde etmek için.
🛠️ Olay Özeti
| Kategori | Detaylar |
|---|---|
| Zafiyet Kodu | CVE-2026-5281 |
| Zafiyetli Bileşen | Google Dawn (WebGPU Uygulaması) |
| Risk Puanı | 10.0 (KRİTİK) |
| Saldırı Vektörü | Zararlı JavaScript / HTML üzerinden Use-After-Free & Sandbox Bypass |
| Güvenli Chrome Sürümü | 146.0.7680.177 / 178 (veya üzeri) |
🛡️ Acil Eylem Planı: Nasıl Korunuruz?
CISA, kurumların sistemlerini koruması için 15 Nisan 2026 tarihini kesin mühlet olarak belirledi.
Son Kullanıcılar (Bireysel) İçin Yapılması Gerekenler:
-
Manuel Güncelleme Tetiklemesi: Tarayıcınızın arka planda güncellenmesini beklemeyin. Sağ üstteki üç noktaya tıklayın
->Yardım->Google Chrome Hakkında sekmesine gidin. Bu ekranı açtığınızda tarayıcı güncellemeyi zorla arayacak ve yükleyecektir. -
Yeniden Başlatma Şart: Güncelleme inip kurulduktan sonra karşınıza çıkan “Yeniden Başlat” (Relaunch) butonuna basmazsanız, yama aktif olmaz. Mutlaka tarayıcıyı kapatıp açın. Windows ve Mac için en az
146.0.7680.177/178sürümünde olduğunuzu teyit edin. -
Microsoft Edge, Opera veya Brave kullanıyorsanız aynı şekilde kendi “Hakkında” menülerinden acil güncellemelerini kontrol edin.
BT Yöneticileri ve Mavi Takım (Blue Team) İçin:
-
Merkezi Güncelleme (Patching): Kurumsal ağınızdaki tüm tarayıcıları şirket politikaları (GPO, Intune, MDM) üzerinden zorunlu olarak en güncel sürüme güncelleyin.
-
WebGPU’yu Devre Dışı Bırakma (Geçici Çözüm / Mitigation): Eğer güncellemeler kurumunuzda test süreçlerinden geçmeden dağıtılamıyorsa, tarayıcıların başlangıç parametrelerine veya yönetim şablonlarına müdahale ederek (örneğin
--disable-dawn-featuresveya--disable-webgpuargümanlarıyla) yama geçilene kadar WebGPU özelliklerini acilen devre dışı bırakın.
CUMBUR.NET sitesinden daha fazla şey keşfedin
Subscribe to get the latest posts sent to your email.
