10 Saniyede Özet
Google, CVE-2026-5281 ve CVE-2026-5289 numaralı iki Chrome zero-day açığını kapatan acil güncellemeyi 1 Nisan 2026’da yayımladı.
CVE-2026-5281, CISA’nın Known Exploited Vulnerabilities listesine girdi ve federal kurumlar için 15 Nisan yama tarihi belirlendi.
Açıkların kapatıldığı sürüm düzeyi Chrome 146.0.7680.178 ve üzeri olarak verildi; etkilenen platformlar ortasında Windows ve macOS bulunuyor.
Google, 1 Nisan 2026’da Chrome için planlı takvimin dışında bir güvenlik güncellemesi yayımladı. Güncelleme, etkin olarak istismar edilen iki use-after-free açığını kapatıyor. Bunlardan biri 9.6 CVSS puanıyla sandbox escape düzeyinde yer alıyor.
İşin kıymetli tarafı, bunun sıradan bir tarayıcı güncellemesi olmaması. Chrome günlük iş akışında e-posta, bulut servisleri, evrak paylaşımı ve kurumsal uygulamalar için en yaygın kullanılan araçlardan biri olduğu için, açıkların tesiri ferdî kullanıcıdan şirket ağlarına kadar geniş bir alana yayılıyor.
Chrome tarafında bu kere tek bir güvenlik sorunu değil, tıpkı anda iki farklı zero-day açığı gündeme geldi. Google’ın 1 Nisan’da dağıttığı acil güncelleme, CVE-2026-5281 ve CVE-2026-5289 numaralı iki use-after-free açığını kapatıyor. Her iki açığın da yayımlandığı sırada etkin akınlarda kullanıldığı belirtiliyor. Zero-day sözü de tam olarak buna işaret ediyor. Saldırganların resmi yama çıkmadan evvel kullanabildiği açıklar.
Açıklardan birincisi olan CVE-2026-5281, Chrome’un Dawn WebGPU bileşeninde yer alıyor ve 8.8 CVSS puanına sahip. Bu açık, muhakkak bir renderer compromise senaryosunun akabinde hazırlanmış bir web sayfası üzerinden keyfi kod çalıştırmaya kapı aralayabiliyor. CISA’nın bu açığı Known Exploited Vulnerabilities listesine eklemesi, hususun güvenlik topluluklarında konuşulan teorik bir riskten ibaret olmadığını da net biçimde ortaya koyuyor.
9.6 puanlı açık neden başka duruyor?
İkinci açık olan CVE-2026-5289 ise daha ağır bir tablo çiziyor. 9.6 CVSS puanına sahip bu açık, Chrome’un Navigation bileşeninde bulunuyor ve tam sandbox escape sağlıyor. Kolay anlatımla, saldırganın tarayıcı sürecinden çıkıp alttaki işletim sistemi katmanına ilerleyebilmesinin önü açılıyor. Tarayıcı açıklarında asıl eşik de birçok vakit burada başlıyor; zira sorun sırf tarayıcı sekmesiyle hudutlu kalmıyor.
Bu gelişme ayrıyeten yılın daha birinci 90 gününde Chrome’un 2026 içindeki dördüncü zero-day olayı olarak kayda geçti. Bu ayrıntı, son devirde tarayıcı güvenliğinde ne kadar ağır bir baskı oluştuğunu gösteriyor. Bilhassa Chrome’un hem kişisel kullanımda hem de şirket aygıtlarında yaygın olması, bu tıp açıkları daha kritik hale getiriyor.
15 Nisan tarihi neden öne çıktı?
CISA, CVE-2026-5281’i etkin olarak istismar edilen açıklar ortasında izlediği Known Exploited Vulnerabilities kataloğuna ekledi ve federal kurumlar için 15 Nisan’ı yama tarihi olarak işaret etti. Bu liste alanda kullanılmaya başlanmış açıkları takip ettiği için güvenlik dünyasında başka tartı taşıyor. Hülasa burada sıkıntı potansiyel bir risk değil, gerçek taarruz yüzeyinin aslında oluşmuş olması.
Windows ve macOS aygıtların etkilendiği belirtiliyor. Kapatılan sürüm düzeyi ise Chrome 146.0.7680.178 ve üzeri. Kurumsal tarafta sırf yamanın dağıtılması değil, tarayıcı süreçlerinin uç nokta güvenliği ve EDR tarafında izlenmesi de öne çıkıyor. Metinde bilhassa acil yama dağıtımının 48 saati aşmasının kendi başına yeni bir zafiyet alanı oluşturduğuna dikkat çekiliyor.
Tarayıcı güncellemesi neden bu kadar kritik?
Tarayıcılar artık sırf web sayfası açan araçlar değil. E-posta oturumları, şirket içi paneller, belge paylaşım servisleri, bulut ofis uygulamaları ve idare ekranları birden fazla vakit birebir tarayıcı üzerinden çalışıyor. Bu yüzden tarayıcıya açılan bir kapı, tek başına izole bir yazılım yanılgısı olarak kalmıyor; daha geniş bir uç nokta güvenliği sorununa dönüşüyor.
Bu olayda da tablo tam olarak bu. Google’ın planlı güncelleme döngüsünün dışına çıkarak acil yama yayımlaması, açığın değerini direkt gösteriyor. CISA’nın belirlediği tarih ve 9.6 puanlı sandbox escape ayrıntısı da bunu daha görünür hale getiriyor.
