Mozilla, bazıları yüksek etkili olarak değerlendirilen 15 güvenlik açığını gideren Firefox 127’yi yayımladı.
Bu güncelleme, kullanıcıların tarama deneyimlerinin güvenli kalmasını sağlamaları açısından çok önemlidir.
Aşağıda bu sürümde düzeltilen güvenlik açıklarının ayrıntılı bir dökümü bulunmaktadır.
CVE-2024-5687: Yeni Sekmeler Açılırken Yanlış Bir Prensip Kullanılmış Olabilir
Muhabir: jackyzy823
Darbe: Yüksek
Tanım: Yeni bir sekme açarken belirli bir eylem dizisi, yanlış tetikleme ilkesine yol açabilir.
Bu prensip, Yönlendiren ve Sec-başlıkları gibi değerlerin hesaplanması için çok önemlidir ve potansiyel olarak yanlış güvenlik kontrollerine ve uzak web sitelerine yanıltıcı bilgilerin gönderilmesine yol açabilir.
Bu hata yalnızca Android için Firefox’u etkiler.
Referanslar: Hata 1889066
CVE-2024-5688: JavaScript Nesne Aktarımında Ücretsiz Kullanım Sonrası
Muhabir: Lukas Bernhard
Darbe: Yüksek
Tanım: Çöp toplama doğru şekilde tetiklenirse nesne nakli sırasında serbest kullanım sonrası güvenlik açığı oluşabilir.
Referanslar: Hata 1895086
Analyze any MaliciousURL, Files & Emails & Configuration With ANY RUN : Start your Analysis
CVE-2024-5689: Firefox Ekran Görüntüleri Aracılığıyla Kullanıcı Karışıklığı ve Olası Kimlik Avı Vektörü
Muhabir: Fabian Fäßler
Darbe: Ilıman
Tanım: Bir web sitesi, kullanıcı ekran görüntüsü aldığında görünen ‘Çekimlerim’ düğmesinin üzerine yerleştirerek onları potansiyel olarak kimlik avı amacıyla kullanılan bir kopya Firefox Ekran Görüntüleri sayfasına yönlendirebilir.
Referanslar: Hata 1389707
CVE-2024-5690: Zamanlama Saldırısıyla Harici Protokol İşleyicileri Sızdırıldı
Muhabir: Satoki Tsuji
Darbe: Ilıman
Tanım: Saldırgan, belirli işlemlerin süresini izleyerek kullanıcının sisteminde hangi harici protokol işleyicilerinin işlevsel olduğunu tahmin edebilir.
Referanslar: Hata 1883693
CVE-2024-5691: Korumalı Alana Sahip Iframe’ler Yeni Bir Pencere Açmak İçin Korumalı Alan Kısıtlamalarını Atlıyor
Muhabir: Luan Herrera
Darbe: Ilıman
Tanım: Korumalı alana alınmış bir iframe, tarayıcıyı bir X-Frame-Options başlığıyla kandırarak yeni bir pencere açmak için kısıtlamaları atlayabilir.
Referanslar: Hata 1888695
CVE-2024-5692: Kaydetme Sırasında Dosya Adı Kısıtlamalarının Atlanması
Muhabirler: Raphael Shaniyazov ve Axel Chong (@Haxatron)
Darbe: Ilıman
Tanım: Bir saldırgan, geçersiz bir karakter ekleyerek tarayıcıyı kandırarak Windows’ta izin verilmeyen uzantıya sahip bir dosyayı kaydetmesini sağlayabilir.
Bu sorun yalnızca Windows işletim sistemlerini etkilemektedir.
Referanslar: Hata 1891234, Hata 1837514
CVE-2024-5693: Ekran Dışı Kanvas Aracılığıyla Çapraz Kaynaklı Görüntü Sızıntısı
Muhabir: Kirtikumar Anandrao Ramchandani
Darbe: Ilıman
Tanım: Ekran Dışı Kanvas, çapraz kaynaklardaki kusurları doğru bir şekilde takip etmedi ve başka bir sitedeki görüntü verilerine erişime izin vererek aynı kaynak politikasını ihlal etti.
Referanslar: Hata 1891319
CVE-2024-5694: JavaScript Dizelerinde Ücretsiz Sonrası Kullanımı
Muhabir: Lukas Bernhard
Darbe: Ilıman
Tanım: Bir saldırgan, JavaScript motorundaki ücretsiz kullanımdan sonra yığının JavaScript dizesi bölümündeki belleği okumasına neden olabilir.
Referanslar: Hata 1895055
CVE-2024-5695: Yetersiz Bellek Koşullarında Tahsis Kullanıldığında Bellek Bozulması
Muhabir: İrvan Kurniawan
Darbe: Ilıman
Tanım: Olasılıksal yığın denetleyicisindeki tahsisler sırasında oluşan yetersiz bellek durumu, bir iddiayı tetikleyebilir ve potansiyel olarak bellek bozulmasına yol açabilir.
Referanslar: Hata 1895579
CVE-2024-5696: Metin Parçalarında Bellek Bozulması
Muhabir: İrvan Kurniawan
Darbe: Ilıman
Tanım: Bir metinde değişiklik yapmak etiketi, bellek bozulmasına yol açarak potansiyel olarak yararlanılabilir bir çökmeye neden olabilir.
Referanslar: Hata 1896555
CVE-2024-5697: Web Sitesi, Firefox’un Ekran Görüntüsü Aldığını Algılayabiliyor
Muhabir: Will Clouser
Darbe: Düşük
Tanım: Bir web sitesi, Firefox’un yerleşik Ekran Görüntüsü işlevini kullanarak bir kullanıcının ekran görüntüsü aldığını algılayabilir.
Referanslar: Hata 1414937
CVE-2024-5698: Veri Listesi Adres Çubuğunun Yerini Paylaşabilir
Muhabir: Hafız
Darbe: Düşük
Tanım: Saldırgan, bir veri listesini açarken tam ekran özelliğini değiştirerek adres çubuğunun üzerine bir metin kutusu yerleştirebilir ve bu da kullanıcının kafa karışıklığına ve olası sahtekarlık saldırılarına yol açabilir.
Referanslar: Hata 1828259
CVE-2024-5699: Büyük/Küçük Harfe Duyarlı Olarak Değerlendirilmeyen Çerez Önekleri
Muhabir: Konstantin Preisser
Darbe: Düşük
Tanım: __Secure gibi çerez önekleri, doğru şekilde büyük harfle yazılmadığı takdirde göz ardı ediliyordu; bu durum, büyük/küçük harfe duyarlı olmayan karşılaştırma gerektiren özelliği ihlal ediyordu.
Referanslar: Hata 1891349
CVE-2024-5700: Firefox 127, Firefox ESR 115.12 ve Thunderbird 115.12’de Düzeltilen Bellek Güvenliği Hataları
Muhabir: Mozilla Fuzzing Ekibi
Darbe: Yüksek
Tanım: Firefox 126, Firefox ESR 115.11 ve Thunderbird 115.11’de bulunan bellek güvenliği hataları, rastgele kod çalıştırmak için istismar edilebilecek bellek bozulmasına dair kanıtlar gösterdi.
Referanslar: Firefox 127, Firefox ESR 115.12 ve Thunderbird 115.12’de bellek güvenliği hataları düzeltildi
CVE-2024-5701: Firefox 127’de Düzeltilen Bellek Güvenliği Hataları
Muhabirler: Randell Jesup ve Mozilla Fuzzing Ekibi
Darbe: Yüksek
Tanım: Firefox 126’daki bellek güvenliği hataları, rastgele kod çalıştırmak için potansiyel olarak yararlanılabilen bellek bozulmasına dair kanıtlar gösterdi.
Referanslar: Firefox 127’de bellek güvenliği hataları düzeltildi.
Mozilla, tarayıcılarının bu güvenlik açıklarına karşı korunmasını sağlamak için tüm kullanıcılara Firefox 127’ye güncelleme yapmalarını tavsiye ediyor.
Looking for Full Data Breach Protection? Try Cynet's All-in-One Cybersecurity Platform for MSPs: Try Free Demo