Mozilla, Firefox 138’i piyasaya sürdü ve gelişmiş profil yönetimi de dahil olmak üzere uzun zamandır beklenen özellikleri sunarken, birkaç yüksek şiddetli güvenlik açıklığını ele aldı.
Güvenlik araştırmacıları, saldırganların ayrıcalıkları artırmasına veya güvenlik mekanizmalarını atlamasına izin verebilecek ve 29 Nisan 2025’te piyasaya sürülen bu önemli güvenlik güncellemesini başlatmasına izin verebilecek birden fazla kritik kusur belirlediler.
Firefox ve Thunderbird’de yüksek etkili güvenlik kusurları
Mozilla Vakfı Güvenlik Danışmanlığı, bu sürümde dört yüksek etkili güvenlik açıkını detaylandırıyor.
.png
)
En çok ilgili konular arasında bir ayrıcalık artış kırılganlığı, bir hafıza yolsuzluğu kusuru ve bir süreç izolasyon baypası yer alıyor.
Güvenlik araştırmacısı Dong-Uk Kim (@JustyBono) tarafından keşfedilen CVE-2025-2817, Firefox’un güncelleme mekanizmasında ciddi bir ayrıcalık artış kırılganlığı ortaya koydu.
Kusur, dosya kilitleme davranışını manipüle ederek orta entegrite kullanıcı işlemlerinin sistem düzeyinde güncelleyicilere müdahale etmesine izin verdi.
Mozilla, “Kullanıcı tarafından ayrıcalıklı sürece kod enjekte ederek, bir saldırgan amaçlanan erişim denetimlerini atlayabilir, uygulamalı olmayan bir kullanıcı tarafından kontrol edilen yollarda sistem düzeyinde dosya işlemlerine izin verebilir ve ayrıcalık artışını etkinleştirebilir” diye açıkladı Mozilla.
MacOS kullanıcıları için, CVE-2025-4082, WebGL Shader özniteliği bellek yolsuzluğunu, sınır dışı bir okumayı tetikleyebilecek.
Diğer güvenlik açıkları ile zincirlendiğinde, bu kusur etkilenen sistemlerde ayrıcalıkları arttırmak için silahlandırılabilir.
Nika Layzell tarafından bildirilen bir başka önemli güvenlik açığı olan CVE-2025-4083, çapraz orijin çerçevelerinde URI bağlantıları kullanılarak bir süreç izolasyon baypası içeriyordu.
Bu güvenlik açığı, JavaScript: URI’lerin uygunsuz işlenmesinden kaynaklandı, potansiyel olarak içeriğin, bir kum havuzu kaçışını sağlayabilecek amaçlanan çerçeve yerine üst düzey belgenin işleminde yürütülmesine izin verdi.
Mozilla ayrıca, hem Firefox 137 hem de Thunderbird 137’yi etkileyen CVE-2025-4092 olarak izlenen bellek güvenlik hatalarını sabitledi.
Bu hatalar hafıza yolsuzluğuna dair kanıtlar gösterdi ve keyfi kod çalıştırmak için potansiyel olarak sömürülebilir.
| Cves | Etkilenen ürünler | Etki | Önkoşuldan istismar | CVSS 3.1 puanı |
| CVE-2025-2817 | Firefox | Ayrıcalık artışı | Saldırgan, hedef sistemde orta entegre bir kullanıcı işlemi olarak kod yürütülmelidir; Yerel erişim gerekli | Yüksek |
| CVE-2025-4082 | MacOS için Firefox | Hafıza Yolsuzluğu, ayrıcalık artması | Saldırgan belirli WebGL Shader özniteliklerini değiştirebilmelidir; Yalnızca macOS sürümünü etkiler | Yüksek |
| CVE-2025-4083 | Firefox | Process Isolation Bypass, Sandbox Escape | Saldırgan, orijinal çerçevelerde URI bağlantılarını enjekte edebilmeli veya kontrol edebilmelidir | Yüksek |
| CVE-2025-4092 | Firefox, Thunderbird | Bellek bozulması, keyfi kod yürütme | Saldırgan, muhtemelen hazırlanmış web içeriği veya e -posta yoluyla bellek güvenlik hatalarını tetiklemelidir | Yüksek |
Yeni Profil Yönetimi Özelliği
Güvenlik iyileştirmelerinin ötesinde, Firefox 138, özellikle çok beklenen bir profil yönetim sistemi olmak üzere kullanıcı odaklı çeşitli geliştirmeler sunar.
Bu özellik, kullanıcıların tarama etkinliklerini bölümlere ayırarak, yer işaretlerini, sekmeleri, şifreleri ve farklı kullanım bağlamları arasında ayrılmış geçmiş tarama geçmişini korumak için ayrı profiller oluşturmalarını sağlar.
Özellik kademeli olarak yayılıyor, ancak “tarayıcı.profiles.enabled” tercihini yaklaşık: config.
İnternet Güvenliği Merkezi (CIS) bu güvenlik açıklarını hükümet ve ticari kuruluşlar için yüksek riskli olarak derecelendirmiştir.
CISA, danışmanında “şu anda bu güvenlik açıklarının vahşi doğada kullanılmadığına dair hiçbir rapor olmadığını” belirtti, ancak kullanıcıların uygun testten hemen sonra güncellemeler uygulamalarını önerdi.
Kullanıcılar en kısa sürede Firefox 138’e güncelleme yapmaya şiddetle teşvik edilir. Standart Firefox sürümüne ek olarak, Mozilla Firefox ESR’yi aynı güvenlik düzeltmeleri ile 115.23 ve 128.10 sürümlerine güncelledi.
SOC ve DFIR ekiplerinden misiniz? -Kötü amaçlı yazılım olaylarını analiz edin ve herhangi biriyle canlı erişim alın.Run -> Şimdi ücretsiz başlayın.