Apple, Chrome kullanıcılarını hedef alan sıfır gün saldırısında kullanılan güvenlik açığını yamadı
Apple, Google Chrome tarayıcısındaki GPU süreçlerini etkileyen ve kötü niyetli HTML sayfalarıyla uzaktan kod çalıştırılmasına yol açabilen CVE-2025-6558 numaralı kritik güvenlik açığına karşı güncellemeler yayımladı. Açığın devlet destekli tehdit gruplarınca istismar edildiği bildirildi.
Apple, CVE-2025-6558 Sıfır Gün Açığını Kapatmak İçin Güvenlik Güncellemeleri Yayınladı
Apple, Chrome kullanıcılarını hedef alan ve CVE-2025-6558 numarasıyla izlenen yüksek riskli sıfır gün güvenlik açığını düzeltmek amacıyla kapsamlı güncellemeler yayımladı. Bu açık, Apple’ın çoğu platformunu etkileyen ANGLE (Almost Native Graphics Layer Engine) adlı grafik soyutlama katmanında tespit edildi.
Açığın Detayları ve Riskleri
ANGLE bileşeni, OpenGL ES API çağrılarını Direct3D, Metal, Vulkan ve OpenGL gibi grafik API’lerine dönüştürür. CVE-2025-6558, özel hazırlanmış HTML sayfaları aracılığıyla tarayıcının GPU sürecinde rastgele kod çalıştırılmasına imkân veriyor. Bu da tarayıcı sandbox güvenlik sınırlarının aşılmasına ve sistem üzerinde potansiyel tam kontrol sağlanmasına yol açabiliyor.
Keşif ve Yama Süreci
Google Tehdit Analiz Grubu (TAG) araştırmacıları Vlad Stolyarov ve Clément Lecigne tarafından Haziran 2025’te keşfedilen açık, 15 Temmuz’da Chrome ekibine bildirildi ve hızla yamalandı. Google, bu açığın devlet destekli tehdit aktörleri tarafından aktif şekilde kullanıldığını doğruladı.
Apple’ın Güncellemeleri
- iOS 18.6 ve iPadOS 18.6: iPhone XS ve sonrası, çeşitli iPad Pro, iPad Air ve iPad mini modelleri
- macOS Sequoia 15.6
- iPadOS 17.7.9: iPad Pro 12.9 inç 2. nesil, 10.5 inç modeli ve iPad 6. nesil
- tvOS 18.6: Apple TV HD ve tüm Apple TV 4K modelleri
- visionOS 2.6: Apple Vision Pro
- watchOS 11.6: Apple Watch Series 6 ve sonrası
Apple, güncellemeye ilişkin açıklamasında “Kötü amaçlı web içeriğinin işlenmesi, Safari’nin beklenmedik şekilde çökmesine neden olabilir” ifadelerini kullandı ve açığın yalnızca Apple yazılımlarında değil, aynı zamanda açık kaynak projelerde de bulunduğunu belirtti.
CISA’dan Zorunlu Güncelleme Talimatı
ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2025-6558 açığını aktif olarak istismar edilen güvenlik açıkları listesine ekleyerek federal kurumlara 12 Ağustos 2025’e kadar yama uygulamalarını zorunlu kıldı. Ayrıca, tüm sistem yöneticilerine de öncelikli olarak bu açığın kapatılması çağrısı yapıldı.
Apple’ın 2025’te Düzeltmediği Diğer Sıfır Gün Açıkları
2025 yılı başından itibaren Apple tarafından halen yamalanmamış olan diğer kritik sıfır gün açıkları şunlardır:
- CVE-2025-24085 (Ocak 2025)
- CVE-2025-24200 (Şubat 2025)
- CVE-2025-24201 (Mart 2025)
- CVE-2025-31200 ve CVE-2025-31201 (Nisan 2025)
Kaynak: CUMHA - CUMHUR HABER AJANSI
Tepkiniz Nedir?
