Mozilla, kullanıcıları potansiyel uzaktan kod yürütme (RCE) saldırılarına maruz bırakan yüksek şiddetli bellek güvenliği kırılganlığına (CVE-2025-1414) ele alan bir istikrar ve güvenlik güncellemesi olan Firefox 135.0.1’i yayınladı.
Yama, Firefox 135.0’daki kritik kusurları çözüyor, bu da saldırganların bellek yolsuzluğundan yararlanmasına ve sistemden ödün vermesine izin verebilecek.
Bu sürüm, Mozilla’nın web altyapısını hedefleyen siber tehditlerin artması nedeniyle tarayıcı güvenlik açıklarını azaltma çabalarının altını çiziyor.
CVE-2025-1414: Güvenlik açığına genel bakış
CWE-119 (bellek bozulması) olarak sınıflandırılan güvenlik açığı, HTML içerik işleme sırasında uygun olmayan sınır kontrollerinden kaynaklanmıştır.
Saldırganlar, bellek yolsuzluğunu tetiklemek için kötü niyetli web siteleri hazırlayarak, açılmamış sistemlerde keyfi kod yürütülmesini sağlayabilir.
Firefox 135.0’ın kod tabanındaki bellek güvenliği hataları, sömürülebilir bellek yolsuzluğunun açık bir kanıtı gösterdi, Mozilla sofistike tehdit aktörlerinin güvenlik protokollerini atlamak ve kullanıcı oturumlarını ele geçirmek için bu kusurları silahlandırabileceğini kabul etti.
Ortak güvenlik açığı puanlama sistemi (CVSS v4.0), ağ tabanlı sömürü vektörü ve tam sistem uzlaşma potansiyeli nedeniyle bu kusur 6.1’i (yüksek) derecelendirmiştir.
Mozilla mühendisi Andrew McCreight, sorunu tanımlamakla kredilendirildi, kusurların Firefox’un JavaScript ve DOM olaylarını ele aldığını belirtti ve bu da yanlışlıkla bölme bellek erişimine izin verdi.
Bu tür güvenlik açıkları, kum havuzu mekanizmalarının süreçleri izole etmek için tasarlandığı tarayıcılarda özellikle tehlikelidir.
Başarılı sömürü, kurumsal ağlar içinde kimlik bilgisi hırsızlığı, kötü amaçlı yazılım dağıtım veya yanal harekete yol açabilir.
Vurguları ve ek düzeltmeleri güncelleyin
CVE-2025-1414 Yamasının Ötesinde, Firefox 135.0.1, kullanıcı deneyimini etkileyen birkaç işlevsel hatayı çözer:
- Tepkisiz açılır menüler: Belirli Mousemove olay davranışlarına dayanan siteler, şimdi gözden geçirilmiş olay işlenmesi mantığı ile düzeltilmiş kullanılabilirlik sorunlarıyla karşılaştı.
- Çapa etiketi kaydırma hataları: Çapa etiketleri yoluyla gezinirken uygunsuz kaydırma konumlandırması Düzen yeniden kalibrasyon işlemlerini rafine edilerek düzeltildi.
- Oturum restorasyon hataları: Eski Firefox sürümlerinden yükseltildikten sonra kullanıcıların kapalı pencereleri/sekmeleri geri yüklemesini engelleyen bir regresyon, geçiş komut dosyası çatışmalarını düzelterek ele alındı.
Mozilla ayrıca, özel arama motorları olan kullanıcılar için güvenliği artırdı, güncellemeler sırasında büyük boy simge dosyalarının neden olduğu kazaları çözdü. Bu düzeltmeler, bellek güvenliği yamalarından daha az şiddetli olsa da, tarayıcının performans ve güvenliği dengelemeye yönelik yinelemeli yaklaşımını vurgular.
Azaltma ve en iyi uygulamalar
Kullanıcılara, Firefox hakkında Menü> Yardım> aracılığıyla hemen güncellemeleri veya Mozilla’nın resmi kanallarından en son yapıyı indirmeleri istenir.
İşletmeler, özellikle hassas verileri işleyen sistemler için yamayı uç noktalar arasında dağıtmaya öncelik vermelidir.
Yöneticiler, güvenilmez web sitelerine erişimi kısıtlayarak ve sömürü sonrası yanal hareketi sınırlamak için ağ segmentasyonunu kullanarak riskleri daha da azaltabilir.
Geliştiriciler için bu olay, konuşlandırmadan önce bellek işleme hatalarını tanımlamak için titiz tüy testlerinin ve statik analizlerin önemini yineliyor.
Bu arada, son kullanıcılar uyanık kalmalı, otomatik güncellemelerin derhal kritik düzeltmeler almasını sağlayabilmelerini sağlıyor.
Ücretsiz Web Semineri: Olay yanıtı ve tehdit avı için etkileşimli kötü amaçlı yazılım sanal alanına sahip daha iyi SOC – buraya kaydolun