Abone Ol
GÜNCEL
Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?Google'ın Yapay Zeka Arama Modu Yayıncıların Web Trafiğini %58 Oranında AzaltıyorFitbit Air: 8 günlük pil ömrü pahasına aylık ücretli sağlık özellikleriGoogle DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?Google'ın arama sonuçlarına zorunlu AI ekleme planı kullanıcıları DuckDuckGo'ya yöneltiyoriPhone 18 Pro 2026'de kalınlaşacak, MagSafe tasarımı basitleşecek: Apple'ın asıl oyunu premium ayrıştırmaGoogle'ın 180 milyar dolarlık Gemini bahsi: 900 milyon kullanıcı, 7 kat token artışı, ama para kazanma hala muallakKali365: Cihaz kodu phishing'i Microsoft 365 kullanıcılarının MFA'sını atlatan yeni tehditSamsung Z Fold 8: Üretim maliyeti %23 arttığında neden özellikleri kesiyor?

Chrome, Edge ve Brave'deki Service Worker açığı 4 yıl boyunca kapalı kaldı—şimdi saldırı kodu herkese açık

Google, Chromium tarayıcılarında uzaktan kod çalıştırmaya izin veren kritik bir açığın istismar detaylarını yanlışlıkla yayınladı. Aralık 2022'den beri bilinen açık, tarayıcı kapatıldıktan sonra JavaScript kodunun arka planda çalışmasına olanak tanıyor.

Tarayıcıda hiç kapanmayan JavaScript çalıştırması: Açık nedir?

Aralık 2022'de güvenlik araştırmacısı Lyra Rebane, Chromium kod tabanında garip bir davranış fark etti: Service Worker API'si üzerinden çalıştırılan JavaScript kodu, tarayıcı kapandıktan sonra bile arka planda çalışmaya devam ediyordu. Cihaz yeniden başlatılsa bile, bu bağlantılar kalıcı hale gelebiliyor ve kullanıcı hiçbir şey fark etmeden uzaktan kod çalıştırılmasına izin veriyordu.

Rebane, keşfettiği açığı Chromium Issue Tracker üzerinden bildirdi. Google ekibi açığı geçerli kabul etti ve P1 öncelik, S2 ciddiyet seviyesiyle işaretledi. Ancak 12 Şubat 2026'da Google, sorunu "düzeltildi" olarak işaretleyip Rebane'e 1.000 dolar hata ödülü verdi—gerçekte hiçbir yama yayınlanmamışken.

20 Mayıs 2026'da ise Google, hata raporundaki tüm erişim kısıtlamalarını kaldırdı ve istismar kodunu kamuya açık hale getirdi. Rebane aynı gün yaptığı testte, açığın Chrome Dev 150 ve Edge 148 sürümlerinde hala aktif olduğunu doğruladı. Açık, 46 ay boyunca yamalanmamış bir şekilde Chromium kod tabanında kaldı ve şimdi herkes tarafından erişilebilir durumda.

Service Worker'lar ile uzaktan kod çalıştırması nasıl mümkün?

Service Worker'lar, modern web tarayıcılarının arka planda çalışmasına izin veren JavaScript bileşenleridir. Normalde offline çalışmayı, push bildirimleri ve ağ isteklerinin arabelleğe alınmasını sağlarlar. Açık, bu mekanizmanın tasarım hatalarından birini istismar ediyor.

Saldırgan, özel hazırlanmış bir web sayfası üzerinden kullanıcının tarayıcısına kalıcı bir Service Worker bağlantısı yükletebiliyor. Bu bağlantı, tarayıcı kapandıktan sonra da aktif kalıyor—hatta cihaz yeniden başlatıldığında bile. Service Worker'ın Fetch API ile yaptığı istekler arka planda sürekli çalışır ve saldırgan, kullanıcının cihazını uzaktan kontrol edebilir hale geliyor.

Bu tür bir açık, üç ana risk oluşturuyor:

- Botnet oluşturma: Milyonlarca tarayıcı, kullanıcılar farkında olmadan bir botnet ağına dahil edilebilir. - DDoS saldırıları: Saldırgan, kompromize edilmiş tarayıcıları kullanarak hedef bir siteye dağıtılmış hizmet reddi saldırısı düzenleyebilir. - Trafik yönlendirme ve proxy: Kullanıcının internet trafiği, istenmeden kötü amaçlı sunuculara yönlendirilebilir veya proxy olarak kullanılabilir.

46 aydan sonra niçin hala yamalanmamış?

Rebane'in Aralık 2022'de bildirdiği açık, Google tarafından P1 öncelik ve S2 ciddiyet seviyesi ile sınıflandırıldı. P1, "yüksek öncelik" anlamına gelir ve genellikle hızlı müdahale gerektirir. Ancak Şubat 2026'ya kadar—46 ay boyunca—herhangi bir yama yayınlanmadı.

Google, 12 Şubat 2026'da sorunu "düzeltildi" olarak işaretledi ve Rebane'e 1.000 dolar hata ödülü verdi. Ancak kayıtlara göre, gerçekte hiçbir kod değişikliği commit edilmedi. Rebane, 20 Mayıs 2026'da yaptığı doğrulamada, istismarın Chrome Dev 150 ve Edge 148 sürümlerinde hala çalıştığını gördü.

Googple ekibinin sorunu yanlışlıkla erken kapatmış olması ya da bir yama denemesinin başarısız olup takip edilmemiş olması olasıdır. 46 ay boyunca milyonlarca Chromium kullanıcısı bu açığa karşı savunmasız kaldı. Chromium projesi açık kaynak olduğu için, hata raporuna erişen herkes kaynak kodu ve istismar tekniklerini inceleyebilir. Bu, güvenlik araştırmacıları için değerli bir kaynak olabilir, ancak aynı zamanda kötü niyetli saldırganlar için de açık bir tarif sunuyor.

Google'ın istismar kodunu yayınlaması: Sırayla ne oldu?

Google'ın davranışları zaman çizelgesinde şu şekilde ilerliyor:

- Aralık 2022: Lyra Rebane açığı Chromium Issue Tracker üzerinden bildiriyor. - 12 Şubat 2026: Google, sorunu "düzeltildi" olarak işaretliyor ve 1.000 dolar hata ödülü veriyor—ancak herhangi bir yama yayınlanmıyor. - 20 Mayıs 2026: Google, hata raporundaki erişim kısıtlamalarını kaldırıyor ve istismar detaylarını herkese açık hale getiriyor. - Aynı gün: Rebane, açığın hala Chrome Dev 150 ve Edge 148'de çalıştığını test ediyor ve doğruluyor.

Google'ın istismar kodunu kamuya açması güvenlik topluluğu tarafından hayal kırıklığı yaratıyor. Normal şartlarda, bir açık yamalanmadan önce detayları gizli tutulur. Ancak Google, muhtemelen 12 Şubat'ta sorunun "çözüldüğünü" düşündüğü için, standart gizlilik politikasını—14 hafta sonra detayları açıklaması—takip etti.

Bu süreç içinde bir yanlış iletişim veya organizasyonel gözetim olduğu anlaşılıyor. Google, hata raporunu "çözüldü" olarak işaretleyince, otomatik süreç devreye girdi ve 14 hafta sonra istismar kodu herkese açık hale geldi. Ancak gerçekte hiçbir zaman bir yama yayınlanmamıştı.

Google, kamuoyundan gelen tepkiler sonrasında açık hata raporunu geri çekti. Ancak içerik zaten arşiv sitelerinde mevcut ve istismar kodu herkes tarafından erişilebilir durumda.

Tüm Chromium tarayıcılarını etkileyen bu açık hangi saldırılara kapı açıyor?

Chromium, Chrome'un açık kaynak temel kod tabanıdır ve pek çok popüler tarayıcı bu kodu kullanır. Bu açık, yalnızca Google Chrome'u değil, aynı zamanda şu tarayıcıları da etkiliyor:

- Microsoft Edge: Windows'ta varsayılan tarayıcı ve kurumsal kullanıcılar arasında yaygın. - Brave: Gizlilik odaklı kullanıcıların tercih ettiği tarayıcı. - Opera: Hızlı ve oyunculara yönelik özelliklere sahip. - Vivaldi: Güç kullanıcılar için özelleştirilebilir seçenek. - Arc: Modern, tasarım odaklı bir tarayıcı.

Firefox ve Safari bu açıktan etkilenmiyor çünkü kendi bağımsız kod tabanlarını kullanıyorlar. Ancak küresel tarayıcı pazar payına baktığımızda, Chromium tabanlı tarayıcılar kullanıcı tabanının büyük çoğunluğunu oluşturuyor.

Açık, şu saldırı senaryolarını mümkün kılıyor:

Botnet oluşturma

Saldırgan, kompromize edilmiş bir siteyi ziyaret eden kullanıcıların tarayıcılarına kalıcı Service Worker yükleyerek, bu cihazları bir botnet ağına dahil edebilir. Kullanıcı farkında olmadan, tarayıcısı arka planda komutları bekliyor ve saldırganın istediği görevleri yerine getiriyor.

DDoS saldırıları

Botnet ağına dahil edilen tarayıcılar, belirli bir hedefe yönelik koordineli istekler göndererek dağıtılmış hizmet reddi (DDoS) saldırısı gerçekleştirebilir. Bu, hedef sitenin çökmesine veya erişilemez hale gelmesine yol açar.

Trafik yönlendirme ve proxy

Saldırgan, kullanıcının internet trafiğini kötü amaçlı sunuculara yönlendirebilir veya kullanıcının cihazını proxy olarak kullanabilir. Bu, kimlik avı saldırıları, veri toplama veya başka saldırıları gizlemek için kullanılabilir.

Bu saldırılar, kullanıcının herhangi bir şey fark etmesini gerektirmez. Tarayıcı kapansa bile, cihaz yeniden başlatılsa bile Service Worker bağlantısı aktif kalabiliyor.

Türkiye'de Chrome, Edge ve Brave kullanıcıları için risk nedir?

Türkiye'de Chrome, Edge ve Brave gibi Chromium tabanlı tarayıcılar yaygın olarak kullanılıyor. Özellikle kurumsal ortamlarda Microsoft Edge, Windows ekosistemyle entegrasyonu nedeniyle tercih ediliyor. Brave ise gizlilik konusunda bilinçli kullanıcılar arasında popüler.

Bu açık, Türkiye'deki kullanıcılar için şu riskleri taşıyor:

Kurumsal kullanıcılar: Şirketlerin çoğu, Microsoft Edge'i varsayılan tarayıcı olarak kullanıyor. Eğer bir çalışan kompromize edilmiş bir siteyi ziyaret ederse, kurumsal ağın tamamı risk altına girebilir. Özellikle VPN kullanılmayan ortamlarda, şirket içi sistemlere erişim sağlayan cihazlar daha fazla hedef haline gelir.

Bireysel kullanıcılar: Kişisel bilgisayarlarda veya mobil cihazlarda Chrome veya Brave kullanan bireyler, botnet saldırılarına dahil edilebilir.

E-ticaret ve bankacılık: Kullanıcı cihazı proxy olarak kullanılırsa, e-ticaret veya bankacılık işlemlerinde yapılan trafiğin yönlendirilmesi kimlik hırsızlığına veya finansal kayıplara yol açabilir.

Eğitim sektörü: Okullar ve üniversiteler genellikle Chrome veya Edge kullanır. Öğrenci ve öğretmenlerin cihazları, kampüs ağlarını hedef alan saldırılarda kullanılabilir.

Service Worker nedir ve neden bu kadar kritik?

Service Worker, modern web uygulamalarının offline çalışmasını ve hızlı yüklenmesini sağlayan bir teknolojidir. JavaScript tabanlı bu bileşenler, tarayıcının arka planında çalışır ve ağ isteklerini yakalar, önbellek yönetimi yapar ve push bildirimleri gönderir.

Service Worker'lar şu amaçlar için kullanılır:

- Offline çalışma: Web uygulamaları, internet bağlantısı olmadan bile temel işlevlerini yerine getirebilir. - Push bildirimleri: Kullanıcıya tarayıcı kapalıyken bile bildirim gönderilebilir. - Önbellek yönetimi: Sık kullanılan kaynaklar önbelleğe alınarak sayfa yükleme hızı artırılır.

Service Worker'lar, tarayıcının güvenlik politikalarıyla sıkı bir şekilde entegre çalışır. Eğer bu güvenlik politikalarında bir açık varsa—ki Rebane'nin keşfettiği açık tam olarak bu durumu gösteriyor—saldırganlar için güçlü bir araç haline gelir.

Immediate and long-term protective measures

Bu açık, Chromium ekibi tarafından hala yamalanmadı. Google'ın istismar kodunu kamuya açması, riskin aciliyetini artırdı.

Acil önlemler:

- Firefox veya Safari'ye geçiş yapın: Bu tarayıcılar Chromium kod tabanını kullanmadığı için açıktan etkilenmiyor. Eğer kurumsal veya kişisel kullanımda Chrome, Edge veya Brave zorunlu değilse, geçici olarak alternatif bir tarayıcı kullanmak mantıklı. - Service Worker'ları temizleyin: Tarayıcı ayarlarından Site Ayarları > İzinler > Arka Plan Senkronizasyonu bölümünden aktif Service Worker'ları kontrol edip temizleyebilirsiniz. Ancak bu, her oturumda tekrar yapılması gereken bir işlemdir. - Şüpheli siteleri ziyaret etmeyin: Kompromize edilmiş veya güvenilmez siteleri ziyaret etmekten kaçının. Özellikle reklam ağlarının yoğun kullanıldığı sitelerde daha dikkatli olun.

Uzun vadeli adımlar:

- Tarayıcı güncellemelerini takip edin: Chromium ekibi, bu açığı er ya da geç yamayacak. Ancak 46 ay boyunca yamalanmamış bir açık için, güncelleme bildirimlerini yakından takip etmek önemli. - Kurumsal BT departmanlarına bildirin: Şirketlerde Edge veya Chrome yaygın kullanılıyorsa, BT ekibinin bu açıktan haberdar olması ve ağ trafiğini izlemesi gerekiyor. - Gizlilik odaklı uzantılar kullanın: uBlock Origin gibi reklam engelleyiciler ve NoScript gibi JavaScript kontrol araçları, zararlı kod yüklenmesini kısmen azaltabilir. Ancak tam bir koruma sağlamaz.

Güvenlik topluluğunun tepkisi: Şeffaflık mı, ihmal mi?

Güvenlik topluluğu, Google'ın bu olayı nasıl yönettiğini sert bir şekilde eleştiriyor. Bir açığı 46 ay boyunca yamalamadan bırakmak ve ardından istismar kodunu kamuya açmak, güvenlik politikalarının ciddi bir başarısızlığına işaret ediyor.

Bazı uzmanlar, Google'ın "çözüldü" etiketini yanlışlıkla erken koyduğunu ve sonrasında bu durumu düzeltmeyi unuttuğunu düşünüyor. Diğerleri ise Google'ın açık kaynak şeffaflık politikasının, bu durumda yanlış sonuçlar doğurduğunu savunuyor. Normalde şeffaflık güvenlik için yararlıdır, ancak bir yama yayınlanmadan istismar kodunu açmak, kullanıcıları daha fazla riske sokuyor.

Rebane, hata ödülünün 1.000 dolar olduğunu ancak açığın hala aktif olduğunu belirtti. Bu durum, Google'ın hata ödül programının denetim mekanizmalarının eksik olduğunu gösteriyor. Bir açık "çözüldü" olarak işaretlendiğinde, bunu doğrulayacak bir test süreci olmalı.

Chromium ekosisteminin kırılganlığı: Tek bir kod, milyonlarca tarayıcı

Bu olay, Chromium ekosisteminin hem gücünü hem de riskini ortaya koyuyor. Chromium açık kaynak olduğu için, pek çok tarayıcı aynı kod tabanını kullanıyor. Bu, geliştirme sürecini hızlandırır ve standartlaşmayı sağlar. Ancak tek bir açık, tüm ekosistemin etkilenmesi anlamına geliyor.

Microsoft Edge, Google Chrome ile aynı motoru kullandığı için, Google'ın yaması olmadan Microsoft de kendi tarayıcısını koruyamıyor. Aynı durum Brave, Opera, Vivaldi ve Arc için de geçerli. Bu tarayıcılar, kendi güvenlik katmanlarını ekleyebilir, ancak temel Chromium kodundaki açıklar tüm türevlere yansıyor.

Bu durum, tarayıcı çeşitliliğinin neden önemli olduğunu da gösteriyor. Firefox ve Safari, bağımsız kod tabanları kullandıkları için bu açıktan etkilenmiyor. Eğer tüm kullanıcılar Chromium tabanlı tarayıcılara geçseydi, bu tür bir açık internet güvenliği için çok daha büyük bir tehdit oluştururdu.

Şu anda yapılması gerekenler

Chromium tabanlı tarayıcı kullanıyorsanız, 46 aydır yamalanmamış bir uzaktan kod çalıştırma açığına maruz kalıyorsunuz. Google'ın istismar kodunu kamuya açması, bu riski kontrol edilemeyen hale getirdi. Firefox veya Safari'ye geçmek kısa vadede riskin azaltılmasının en etkili yoludur. Geçiş mümkün değilse, şüpheli siteleri ziyaret etmekten kaçının ve Chromium güncellemelerini yakından takip edin. Kurumsal kullanıcılar ise BT ekiplerine bu açığı bildirmeli ve ağ trafiğini gözlemlemesi gerektiğini belirtmelidir.

Okumaya devam et

27 May 2026 6 dk

Google DeepMind 2029'a kadar AGI'ye ulaşabileceğini söylerken neden özel araçlardan genel ajan sistemlerine geçiyor?

Demis Hassabis, Axios'a verdiği söyleşide dört yıl içinde yapay genel zekaya erişilebileceğini iddia ederken, Google I/O'da araştırma ekipleri AlphaFold gibi uzmanlaşmış araçlardan genel amaçlı ajan sistemlerine yönlendiriliyor. Çelişkili görünen bu iki hamle aslında aynı stratejinin iki yüzü: acil bir tehdit algısı oluşturma ile o tehdidi kontrol edecek araçlar inşa etme.