Mozilla, Firefox’ta saldırganların kullanıcıların sistemlerinde kötü amaçlı kod yürütmesine izin verebilecek iki kritik güvenlik açıkını ele almak için bir acil durum güvenlik güncellemesi yayınladı.
Güvenlik açıkları, popüler web tarayıcısının birden fazla sürümünü etkiler ve kullanıcılardan derhal ilgi gerektirir. Güvenlik uzmanları, sömürünün çok az kullanıcı etkileşimi gerektirdiği konusunda uyarıyor.
Uzak bir saldırgan, kurbanı özel olarak hazırlanmış bir web sitesini ziyaret etmek için kandırabilir, hedef sistemde keyfi bir kod yazıp yürütebilir.
.png
)
Kritik Firefox güvenlik açıkları
Güvenlik araştırmacıları, Firefox’un JavaScript motorunda etkilenen sistemlerden ödün vermek için kullanılabilecek iki ciddi sınır dışı güvenlik açıklığı (CVE-2025-4918 ve CVE-2025-4919) keşfettiler.
Bu kusurlar, Trend Micro’nun Sıfır Gün Girişimi ile çalışan güvenlik uzmanları tarafından tanımlandı ve potansiyel etkileri nedeniyle Mozilla tarafından “kritik” olarak sınıflandırıldı.
CVE-2025-4918 olarak izlenen ilk güvenlik açığı, JavaScript vaat nesnelerini işlerken sınır dışı bir okuma veya yazma güvenlik açığı içerir.
Mozilla’nın Güvenlik Danışmanlığına göre, “bir saldırgan, bir JavaScript vaat nesnesi üzerine sınır dışı bir okuma veya yazabildi”. Bu kusur, Palo Alto Networks’ten Edouard Bochin ve Tao Yan tarafından ortaya çıkarıldı.
İkinci güvenlik açığı olan CVE-2025-4919, saldırganların “dizi dizin boyutlarını karıştırarak bir JavaScript nesnesi üzerinde okuma veya yazma” yapmalarını sağlar. Bu güvenlik açığı güvenlik araştırmacısı Manfred Paul tarafından bildirildi.
Her iki güvenlik açığı da potansiyel olarak uzak saldırganların, kullanıcıları kötü niyetli web sitelerini ziyaret ederek kandırarak kurban sistemleri üzerinde keyfi kod yürütmesine izin verebilir.
| Cves | Etkilenen ürünler | Darbe | Önkoşuldan istismar | CVSS 3.1 puanı |
| CVE-2025-4918 CVE-2025-4919 | Mozilla Firefox <138.0.4mozilla Firefox ESR <128.10.1mozilla Firefox ESR <115.23.1 | Kötü amaçlı kod yürüt | Saldırgan kullanıcıyı kötü niyetli bir web sayfasını ziyaret etmek için kandırmalıdır (kullanıcı etkileşimi gerekli) | 8.8 (Yüksek) |
Etkilenen sürümler
Güvenlik kusurları birden fazla Firefox sürümünü etkiler:
- 138.0.4’ten önceki Firefox sürümleri.
- Firefox ESR (Genişletilmiş Destek Sürümü) Sürümleri 128.10.1’den önce.
- 115.23.1’den önce Firefox ESR sürümleri.
Güvenlik analiz firması siber güvenlik yardımına göre, etkilenen sürümler Firefox 110.0’dan 138.0.3’e ve Firefox ESR sürüm 102.0 ila 128.10.0.
Bu güvenlik açıkları için CVSS skoru, etkilenen sistemler için önemli bir risk olduğunu gösteren 8.8 taban skoru ile yüksek olduğu tahmin edilmektedir.
Mozilla, PWN2OWN 2025 güvenlik yarışmasında gösterildiği bildirilen güvenlik açıklarına hızlı bir şekilde yanıt verdi.
Kullanıcılara Firefox kurulumlarını hemen en son sürümlere güncellemeleri şiddetle tavsiye edilir:
- Firefox 138.0.4.
- Firefox ESR 128.10.1.
- Firefox ESR 115.23.1.
Güncellemeler, Firefox menüsünden “Yardım” seçerek ve “Firefox Hakkında” tıklayarak uygulanabilir. Mac kullanıcıları Firefox menüsünden “Firefox Hakkında” seçmelidir.
Güvenlik uzmanları, bu güvenlik açıklarının vahşi doğada aktif olarak kullanılabileceğini ve sistem güvenliğini ve veri bütünlüğünü korumak için hemen yamayı gerekli kıldığını vurgulamaktadır.
Tarayıcı tabanlı saldırılar sofistike olarak gelişmeye devam ettikçe, yazılımı güncel tutmak potansiyel güvenlik uzlaşmalarına karşı en etkili savunmalardan biri olmaya devam etmektedir.
Güvenlik Açığı Saldırısı Simülasyonu Hackerlar Giriş Noktaları İçin Web Sitelerini Nasıl Hızlı Araştırdılar – Ücretsiz Web Semineri