Mozilla, potansiyel olarak keyfi kod yürütülmesine izin verebilecek birkaç yüksek etkili kusur da dahil olmak üzere 17 güvenlik açıklığını ele almak için Firefox 141’i yayınladı.
22 Temmuz 2025’te açıklanan Mozilla Vakfı Güvenlik Danışmanlığı, kullanıcıları bu kritik güvenlik sorunlarına karşı korumak için hemen güncellemelerini istemektedir.
Key Takeaways
1. Firefox 141 patches critical vulnerabilities that could allow code execution.
2. High-impact bugs affect core browser functions on 64-bit and ARM systems.
3. Mozilla urges immediate update to protect against these security risks.
JavaScript Motoru ve Bellek Güvenliği Kusurları
En şiddetli güvenlik açıkları, Firefox’un JavaScript motoru ve bellek yönetim sistemleri etrafında toplanır.
CVE-2025-8027, Ionmonkey-Jit derleyicisinin 64 bit platformlardaki yığın için sadece 64 bit geri dönüş değerinin 32 bit yazdığı özellikle tehlikeli bir kusuru temsil ederken, temel JIT 64 bitin tamamını okur. Bu uyumsuzluk öngörülemeyen davranışlara ve potansiyel kod uygulamasına yol açabilir.
Bir başka kritik sorun olan CVE-2025-8028, çok sayıda girişe sahip WebAssembly Br_Table talimatlarının etiket kesilmesine neden olabileceği ve yanlış dal adres hesaplamalarına neden olabileceği ARM64 sistemlerini etkiler.
Güncelleme ayrıca, Mozilla’nın güvenlik ekibinin yeterince çaba ile rastgele kod yürütülmesi için sömürülebileceğine inandığı CVE-2025-8044, CVE-2025-8034, CVE-20034, CVE-2025-8040 ve CVE-2025-8035 olarak izlenen birden fazla bellek güvenlik hatasını ele alıyor.
Çapraz Origin ve İçerik Güvenliği Politikası
Önemli web güvenlik mekanizmalarını atlatmayı içeren çeşitli güvenlik açıkları. CVE-2025-8036, Firefox, IP adresi değişiklikleri arasında CORS önbelleğe alındığında, saldırganların DNS yeniden kaynak paylaşımı (CORS) korumalarını DNS yeniden başlatma saldırıları yoluyla atlamasına izin verdi.
Tarayıcı ayrıca CVE-2025-8032 de dahil olmak üzere içerik güvenliği politikası (CSP) bypass sorunlarından muzdaripti;
Kimlik doğrulama kimlik bilgileri, kullanıcı adı: Parola kombinasyonlarının CSP raporlarındaki URL’lerden düzgün bir şekilde soyulmadığı ve potansiyel olarak http temel kimlik doğrulama kimlik bilgileri olan CVE-2025-8031 aracılığıyla maruz kalma riskiyle karşı karşıya kaldı.
Ek olarak, CVE-2025-8029, JavaScript’in Yürütülmesini Etkinleştirdi: Nesneye gömüldüğünde ve etiketleri yerleştirerek başka bir saldırı vektörü oluşturma.
| CVE | Başlık | Darbe |
| CVE-2025-8027 | JavaScript Motor sadece yığın için kısmi dönüş değeri yazdı | Yüksek |
| CVE-2025-8028 | Büyük şube tablosu kesik talimatlara yol açabilir | Yüksek |
| CVE-2025-8044 | Firefox 141 ve Thunderbird 141’de Bellek Güvenliği Hataları | Yüksek |
| CVE-2025-8034 | Firefox ESR 115.26, Firefox ESR 128.13, Thunderbird ESR 128.13, Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 ve Thunderbird 141 | Yüksek |
| CVE-2025-8040 | Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 ve Thunderbird 141 | Yüksek |
| CVE-2025-8035 | Firefox ESR 128.13, Thunderbird ESR 128.13, Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 ve Thunderbird 141 | Yüksek |
| CVE-2025-8041 | Android için Firefox’ta yanlış URL kesme | Ilıman |
| CVE-2025-8042 | Sandboxed Iframe indirmeleri başlatabilir | Ilıman |
| CVE-2025-8029 | JavaScript: Nesnede yürütülen URL’ler ve Embled Etiketler | Ilıman |
| CVE-2025-8036 | DNS REBINDING CORS | Ilıman |
| CVE-2025-8037 | İsimsiz Çerezler Gölge Güvenli Çerezler | Ilıman |
| CVE-2025-8030 | “Kopyala olarak Kopyala” komutunda kullanıcı destekli potansiyel kod yürütme | Ilıman |
| CVE-2025-8043 | Yanlış URL kesme | Ilıman |
| CVE-2025-8031 | CSP raporlarında yanlış URL sıyırma | Ilıman |
| CVE-2025-8032 | XSLT belgeleri CSP’yi atlayabilir | Ilıman |
| CVE-2025-8038 | CSP Frame-SRC yollar için doğru şekilde uygulanmadı | Düşük |
| CVE-2025-8039 | URL çubuğunda devam eden arama terimleri | Düşük |
| CVE-2025-8033 | Jeneratörler için yanlış JavaScript Durum Makinesi | Düşük |
Android düzeltmeleri
Android için Firefox, CVE-2025-8041 ve CVE-2025-8042 düzeltmeleri ile özel bir ilgi gördü.
Birincisi, URL’lerin orijin ekranına öncelik vermek yerine sondan kısaltıldığı adres çubuğunda yanlış URL kesilmesini ele aldı.
İkinci güvenlik açığı, indirimleri başlatma özelliği olmadan, amaçlanan güvenlik sanal alanını kırarak, indirme işlemleri özelliği olmadan kum havuzlu IFREM’lere izin verdi.
Güncelleme ayrıca CVE-2025-8037 aracılığıyla çerez gölgeleme sorunlarını da çözer, burada eşit işaretlere sahip isimsiz çerezlerin, şifrelenmemiş HTTP bağlantılarını ayarlasa bile güvenli çerezleri gölgeleyebileceği.
Mozilla, tüm Firefox kullanıcılarının yüksek etkili bellek bozulması sorunlarından ılımlı gizlilik ve güvenlik bypass’larına kadar değişen bu güvenlik açıklarına karşı korunmak için hemen sürüm 141’e güncellenmesini şiddetle tavsiye eder.
Tespiti artırın, uyarı yorgunluğunu azaltın, yanıtı hızlandırın; Güvenlik ekipleri için inşa edilmiş etkileşimli bir sanal alan ile hepsi -> Herhangi birini deneyin. Şimdi