Google, 20 Mayıs 2026’da Chromium hata takipçisinde yamalanmamış bir açığın ayrıntılarını ve çalışır durumdaki PoC kodunu kısa süreliğine herkese açtı; kayıt hızla yeniden gizlendi ama kod çoktan arşiv sitelerine kopyalandı. Açık, bağımsız güvenlik araştırmacısı Lyra Rebane tarafından 2022’nin sonunda Google’a rapor edilmişti ve içeride “S1” (yüksek önem) olarak sınıflandırıldığı halde hâlâ kapatılmadı.
Sorun, büyük dosyaları arka planda indirmeyi amaçlayan Browser Fetch API’nin suistimaliyle başlıyor. Kötü niyetli bir site, servis çalışanını (service worker) kalıcı bir bağlantı kuracak şekilde tetikleyebiliyor. Bu bağlantı bazı tarayıcılarda tarayıcıyı veya cihazı yeniden başlatsanız bile açık kalabiliyor; böylece tarayıcınız sınırlı bir “arka kapı”ya dönüşüp trafiğinizi kısmen izlemek, anonim proxy gibi kullanılmak ya da DDoS saldırılarında yer almak için araca çevrilebiliyor.
Etkilenenler arasında Chrome, Edge, Opera, Brave ve Vivaldi gibi Chromium tabanlı tarayıcılar var. Firefox ve Safari bu özellik setini desteklemediği için etkilenmiyor. Google’ın hatayı ne zaman düzelteceğine dair net bir takvim de şimdilik yok.
Ne yapmalı?
- Şüpheli sitelerden uzak durun ve nedensiz beliren indirme bildirimlerine dikkat edin. Bu açık, kullanıcı etkileşimi olmadan da tetiklenebiliyor.
- Geçici çözüm olarak Firefox’un ya da Safari’nin güncel sürümlerini tercih edebilirsiniz.
- Gelişmiş kullanıcılar, servis çalışanlarını incelemek/temizlemek için chrome://serviceworker-internals sayfasına bakabilir. (Sistemler arası riskler için alışılmışın dışında adımlar atmayın.)
Özetle: 2022 sonunda raporlanmış bir açık, 20 Mayıs 2026’da yanlışlıkla kamuya açılan PoC sayesinde artık saldırganların radarında. Google kaydı geri kapattı fakat kod çoktan dolaşımda; Chromium tabanlı tarayıcı kullanan herkesin temkinli olması gerekiyor.
Kaynak: www.techspot.com
chrome güvenlik ile zıt manadadır…