Mozilla, Firefox 140’ı piyasaya sürdü ve kod yürütülmesine yol açabilecek yüksek etkili bir kullanımsız güvenlik açığı da dahil olmak üzere birden fazla kritik güvenlik açıklığını ele aldı.
Güncelleme, bellek güvenliği sorunlarından tarayıcının hem masaüstünü hem de mobil sürümlerini etkileyen platforma özgü güvenlik açıklarına kadar on iki farklı güvenlik kusuru.
Summary
1. Firefox 140 addresses CVE-2025-6424, a high severity use-after-free bug in FontFaceSet could enable code execution attacks.
2. Addressed multiple memory corruption bugs (CVE-2025-6436) that could lead to arbitrary code execution.
3. macOS and Android-specific vulnerabilities including file warning bypass and URL manipulation patched.
4. 12 total security flaws fixed - immediate update essential for protection.
Yüksek etkili güvenlik kusurları adreslendi
CVE-2025-6424: FontFaceset’te kullanılmayan kullanım
CVE-2025-6424, Devcore Araştırma Ekibi’nden güvenlik araştırmacıları LJP ve Hexrabbit tarafından Firefox’un FontFaceSet bileşeninde keşfedilen yüksek etkili bir kullanımsız güvenlik açığıdır.
.png
)
Bir program, bir program belleği serbest bırakıldıktan veya dağıtıldıktan sonra kullanmaya devam ettiğinde, bellek yolsuzluğuna yol açtığında ortaya çıkar.
Bu özel durumda, Firefox’un web yazı tiplerini ve yazı tipi yükleme işlemlerini yöneten yazı tipi taşıma sisteminin bir parçası olan FontFaceset’te güvenlik açığı mevcuttur.
Tetiklendiğinde, bu kusur, saldırganların kurbanın sisteminde keyfi kod yürütmek için yararlanabileceği potansiyel olarak sömürülebilir bir kaza ile sonuçlanır.
CVE-2025-6436: Bellek Güvenliği Hata Koleksiyonu
CVE-2025-6436, Firefox 139 ve Thunderbird 139’da bulunan birden fazla bellek güvenliği güvenlik açığını kapsar.
Bu CVE, Mozilla’nın Dahili Güvenlik Ekibi tarafından Andrew McCreight, Gabriele Svelto, Beth Rennie ve Mozilla Fuzzing ekibi dahil, Mozilla’nın devam eden güvenlik test süreçleri aracılığıyla keşfedildiğini gösterdi.
Tek bir spesifik güvenlik açığının aksine, CVE-2025-6436, bellek bozulması kanıtı gösteren bellek güvenliği sorunlarının bir koleksiyonunu temsil eder.
Bellek güvenlik hataları, arabellek taşmalarını, kullanımsız kullanım koşullarını, çiftsiz hataları ve diğer bellek yönetimi kusurlarını içerebilir.
Ek güvenlik kusurları
Güncelleme ayrıca, WebCompat WebExtension’ın kaplar ve tarama modları boyunca kullanıcıları izlemek için kullanılabilecek kalıcı bir UUID ortaya çıkardığı orta derecede etkili bir güvenlik açığı olan CVE-2025-6425’i de çözüyor.
Güvenlik araştırmacısı Rob Wu, saldırganların parmak izi tarayıcılarını ısrarla geçirmesine izin verebilecek bir gizlilik endişesi tespit etti.
Düşük etkili bir kusur olan CVE-2025-6426, macOS için Firefox’u etkiler, burada terminal uzantısı olan yürütülebilir dosyaların uygun uyarı iletişim kutuları olmadan açılacağı ve kullanıcıları potansiyel olarak kötü amaçlı yazılım yürütmesine maruz bırakması. Bu güvenlik açığı güvenlik araştırmacısı PWN2CAR tarafından bildirilmiştir.
Android kullanıcıları iki farklı sorun için düzeltmelerden yararlanır. CVE-2025-6428, Android için Firefox’un amaçlanan hedef yerine bağlantı sorgusu parametrelerinde belirtilen URL’leri yanlış takip edeceği ve potansiyel olarak kimlik avı saldırılarını kolaylaştıracağı bir URL manipülasyon güvenlik açığını ele aldı.
Ayrıca, CVE-2025-6431, kullanıcıları üçüncü taraf uygulamalardaki güvenlik açıklarına maruz bırakabilecek harici uygulama istem için bir baypas mekanizmasını çözdü.
Sürüm, çeşitli içerik güvenliği politikası (CSP) bypass güvenlik açıkları için düzeltmeler içerir.
CVE-2025-6427, alt disk manipülasyonu yoluyla bir Connect-SRC yönergesi baypasını ele alırken, CVE-2025-6430, yerler arası yazma saldırılarına yol açabilecek gömme ve nesne etiketlerinde içerik dispozisyon başlık işleme ile ilgili sorunları çözdü.
Kullanıcılar bu güvenlik açıklarına karşı korumak için hemen Firefox 140’a güncellemelidir.
Bu düzeltmelerin kapsamlı doğası, özellikle yüksek etkili bellek güvenliği sorunları, bu güncellemeyi tarayıcı güvenliğini korumak için kritik hale getirir.
Sistem yöneticileri, belgelenmiş güvenlik açıklarının potansiyel olarak kullanılmasını önlemek için bu güncellemeyi organizasyonel ağlara dağıtmaya öncelik vermelidir.
Canlı kötü amaçlı yazılım davranışını araştırın, bir saldırının her adımını izleyin ve daha hızlı, daha akıllı güvenlik kararlarını alın -> Herhangi birini deneyin. Şimdi