Yapay Zeka Destekli Güvenlik Tarayıcıları FFmpeg’te 21 Sıfırıncı Gün Açığını Tespit Etti, Chrome 429 Güvenlik Açığını Giderdi

Anasayfa » Yapay Zeka Destekli Güvenlik Tarayıcıları FFmpeg’te 21 Sıfırıncı Gün Açığını Tespit Etti, Chrome 429 Güvenlik Açığını Giderdi
Güvenlik Güncellemeleri, Zafiyetler
Haziran 6, 2026Haziran 6, 2026Tarafından Cybernews.TR
0
Yapay Zeka Destekli Güvenlik Tarayıcıları FFmpeg’te 21 Sıfırıncı Gün Açığını Tespit Etti, Chrome 429 Güvenlik Açığını Giderdi

Son dönemde yapay zeka destekli güvenlik araçları, açık kaynaklı medya işleme kütüphanesi FFmpeg’te 21 adet sıfırıncı gün (zero-day) güvenlik açığını tespit etti. Aynı hafta içinde ise popüler web tarayıcısı Chrome, tek bir sürümde 429 güvenlik açığını kapatan bir güncelleme yayımladı. Bu rakam, bir seferde yayımlanan en yüksek güvenlik açığı yaması olarak kayıtlara geçti.

FFmpeg’teki Güvenlik Açıkları ve Yapay Zeka Tarama Süreci

FFmpeg projesinin yaklaşık 1,5 milyon satır C kodunu tarayan otonom bir yapay zeka ajanı, 21 doğrulanmış sıfırıncı gün açığını ortaya çıkardı. Bu açıkların her biri için yeniden üretilebilir kavramsal kanıtlar (PoC) oluşturuldu. Tarama maliyeti yaklaşık 1.000 dolar olarak bildirildi. Bazı açıklar 15 ila 23 yıl boyunca fark edilmeden kalmış; örneğin, 2003 yılından beri var olan bir yığın taşması (stack overflow) uzun süre kullanılmadan bekledi.

Bulunan zafiyetlerin çoğu, TS demuxer’dan VP9 kod çözücüye kadar uzanan çeşitli ayrıştırıcılar ve demuxer bileşenlerinde yığın veya yığın taşması türünde. Bazı açıklar CVE numarası aldı; örneğin CVE-2026-39210’dan CVE-2026-39218’e kadar dokuz tanesi kamuya açıklandı ve diğerleri ise henüz numaralandırılmadı ancak yamalandı. Bu gelişmeler, medya işleme altyapısında kullanılan FFmpeg bileşenlerinin güvenlik risklerine dikkat çekiyor.

Chrome 149 Güncellemesi ve Kritik Güvenlik Açıkları

Google tarafından yayımlanan Chrome 149 sürümü, 429 güvenlik açığını giderdi. Bu açıkların yaklaşık 100’ü kritik veya yüksek şiddette olup, çoğunlukla use-after-free ve yetersiz giriş doğrulaması kaynaklı. En kritik zafiyetlerden biri olan CVE-2026-10881 (CVSS 9.6), ANGLE grafik motorunda gerçekleşen sınır dışı okuma ve yazma hatası sayesinde kötü amaçlı hazırlanmış bir web sayfasının tarayıcı sandbox’ından çıkarak ana sistemde kod çalıştırmasına olanak tanıyor. Bu açığın raporlanması için 97.000 dolar ödendi.

Yüksek şiddetteki açıkların çoğu şirket içi araştırmacılar tarafından bulundu; yaklaşık 90 yüksek şiddetli açığın sadece 10’u dış araştırmacılar tarafından raporlandı. Kritik seviyedeki 22 açığın 19’u ise şirketin kendi ekibi tarafından tespit edildi. Yapay zekanın etkisi daha çok rapor sayısındaki artışa dayanıyor, doğrudan yazar olarak değil.

Siber Güvenlik Ekipleri İçin Öneriler

  • FFmpeg kullanan sistemlerde, özellikle RTSP veya AV1-over-RTP gibi dış kaynaklı medya akışlarını işleyen bileşenlerde acilen güncelleme yapılmalı.
  • FFmpeg genellikle medya işleme pipeline’larında, Python paketlerinde, konteyner imajlarında ve gömülü cihazlarda kullanıldığı için sadece sistem paketleri değil, gömülü kopyalar da yamalanmalı.
  • Chrome kullanıcıları, Linux için 149.0.7827.53, Windows ve macOS için 149.0.7827.53/54 sürümlerine güncelleme yapmalı veya otomatik güncellemenin tamamlandığını doğrulamalı.
  • Güvenlik yamalarının hızlı uygulanması için otomatik güncelleme mekanizmaları etkinleştirilmeli ve CVE düzeltmeleri rutin bakım değil, öncelikli güvenlik çalışması olarak ele alınmalı.
  • Olay müdahale ekipleri, yapay zeka destekli raporların artmasıyla birlikte, raporların önceliklendirilmesi ve doğrulanması için yeni süreçler geliştirmeli.

Teknik Özet

  • Yapay zeka tabanlı tarama araçları, büyük kod tabanlarında (örneğin FFmpeg) sıfırıncı gün açıklarını hızlı ve maliyet etkin şekilde tespit edebiliyor.
  • Chrome’daki kritik açıklar, sandbox kaçışı ve uzaktan kod yürütme (RCE) riskleri taşıyor (örneğin CVE-2026-10881).
  • Yüksek şiddetteki açıkların çoğu dahili güvenlik araştırmacıları tarafından keşfedildi; dış kaynaklı raporlar ise artan yapay zeka destekli başvurular sayesinde çoğaldı.
  • Önerilen savunma yöntemleri: düzenli yama yönetimi, otomatik güncellemeler, ağ segmentasyonu, e-posta güvenliği ve olay müdahale süreçlerinin güçlendirilmesi.

Son raporlar, yapay zekanın güvenlik açıklarının keşfi ve raporlanmasında önemli bir rol oynadığını gösteriyor. Ancak bu durum, güvenlik ekiplerinin raporları hızlıca işleyip yamaları dağıtma süreçlerini de hızlandırmasını zorunlu kılıyor. Özellikle medya işleme ve web tarayıcıları gibi kritik altyapılarda bu tür gelişmeler, siber güvenlik operasyonlarının yeniden yapılandırılması ihtiyacını ortaya koyuyor.

, , , , , ,