10 Saniyede Özet
Google, CVE-2026-5281 ve CVE-2026-5289 numaralı iki Chrome zero-day açığını kapatan acil güncellemeyi 1 Nisan 2026’da yayımladı.
CVE-2026-5281, CISA’nın Known Exploited Vulnerabilities listesine girdi ve federal kurumlar için 15 Nisan yama tarihi belirlendi.
Açıkların kapatıldığı sürüm seviyesi Chrome 146.0.7680.178 ve üzeri olarak verildi; etkilenen platformlar arasında Windows ve macOS bulunuyor.
Google, 1 Nisan 2026’da Chrome için planlı takvimin dışında bir güvenlik güncellemesi yayımladı. Güncelleme, aktif olarak istismar edilen iki use-after-free açığını kapatıyor. Bunlardan biri 9.6 CVSS puanıyla sandbox escape seviyesinde yer alıyor.
İşin önemli tarafı, bunun sıradan bir tarayıcı güncellemesi olmaması. Chrome günlük iş akışında e-posta, bulut servisleri, dosya paylaşımı ve kurumsal uygulamalar için en yaygın kullanılan araçlardan biri olduğu için, açıkların etkisi bireysel kullanıcıdan şirket ağlarına kadar geniş bir alana yayılıyor.
Google, aktif olarak kullanılan iki Chrome açığı için acil yama yayımladı
Chrome tarafında bu kez tek bir güvenlik sorunu değil, aynı anda iki farklı zero-day açığı gündeme geldi. Google’ın 1 Nisan’da dağıttığı acil güncelleme, CVE-2026-5281 ve CVE-2026-5289 numaralı iki use-after-free açığını kapatıyor. Her iki açığın da yayımlandığı sırada aktif saldırılarda kullanıldığı belirtiliyor. Zero-day ifadesi de tam olarak buna işaret ediyor. Saldırganların resmi yama çıkmadan önce kullanabildiği açıklar.
Açıklardan ilki olan CVE-2026-5281, Chrome’un Dawn WebGPU bileşeninde yer alıyor ve 8.8 CVSS puanına sahip. Bu açık, belirli bir renderer compromise senaryosunun ardından hazırlanmış bir web sayfası üzerinden keyfi kod çalıştırmaya kapı aralayabiliyor. CISA’nın bu açığı Known Exploited Vulnerabilities listesine eklemesi, konunun güvenlik topluluklarında konuşulan teorik bir riskten ibaret olmadığını da net biçimde ortaya koyuyor.
9.6 puanlı açık neden ayrı duruyor?
İkinci açık olan CVE-2026-5289 ise daha ağır bir tablo çiziyor. 9.6 CVSS puanına sahip bu açık, Chrome’un Navigation bileşeninde bulunuyor ve tam sandbox escape sağlıyor. Basit anlatımla, saldırganın tarayıcı sürecinden çıkıp alttaki işletim sistemi katmanına ilerleyebilmesinin önü açılıyor. Tarayıcı açıklarında asıl eşik de çoğu zaman burada başlıyor; çünkü sorun yalnızca tarayıcı sekmesiyle sınırlı kalmıyor.
Bu gelişme ayrıca yılın daha ilk 90 gününde Chrome’un 2026 içindeki dördüncü zero-day vakası olarak kayda geçti. Bu detay, son dönemde tarayıcı güvenliğinde ne kadar yoğun bir baskı oluştuğunu gösteriyor. Özellikle Chrome’un hem bireysel kullanımda hem de şirket cihazlarında yaygın olması, bu tür açıkları daha kritik hale getiriyor.
15 Nisan tarihi neden öne çıktı?
CISA, CVE-2026-5281’i aktif olarak istismar edilen açıklar arasında izlediği Known Exploited Vulnerabilities kataloğuna ekledi ve federal kurumlar için 15 Nisan’ı yama tarihi olarak işaret etti. Bu liste sahada kullanılmaya başlanmış açıkları takip ettiği için güvenlik dünyasında ayrı ağırlık taşıyor. Kısacası burada mesele potansiyel bir risk değil, gerçek saldırı yüzeyinin zaten oluşmuş olması.
Windows ve macOS cihazların etkilendiği belirtiliyor. Kapatılan sürüm seviyesi ise Chrome 146.0.7680.178 ve üzeri. Kurumsal tarafta yalnızca yamanın dağıtılması değil, tarayıcı süreçlerinin uç nokta güvenliği ve EDR tarafında izlenmesi de öne çıkıyor. Metinde özellikle acil yama dağıtımının 48 saati aşmasının kendi başına yeni bir zafiyet alanı oluşturduğuna dikkat çekiliyor.
Tarayıcı güncellemesi neden bu kadar kritik?
Tarayıcılar artık yalnızca web sayfası açan araçlar değil. E-posta oturumları, şirket içi paneller, dosya paylaşım servisleri, bulut ofis uygulamaları ve yönetim ekranları çoğu zaman aynı tarayıcı üzerinden çalışıyor. Bu yüzden tarayıcıya açılan bir kapı, tek başına izole bir yazılım hatası olarak kalmıyor; daha geniş bir uç nokta güvenliği meselesine dönüşüyor.
Bu olayda da tablo tam olarak bu. Google’ın planlı güncelleme döngüsünün dışına çıkarak acil yama yayımlaması, açığın önemini doğrudan gösteriyor. CISA’nın belirlediği tarih ve 9.6 puanlı sandbox escape detayı da bunu daha görünür hale getiriyor.