Mozilla, 13 Ocak 2026’da Firefox 147’yi piyasaya sürdü ve Mozilla Vakfı Güvenlik Danışma Belgesinde ayrıntılı olarak açıklanan 16 güvenlik açığını giderdi.
Güncelleme, grafikler, JavaScript ve ağ iletişimi gibi bileşenlerdeki kritik sorunları yayarak, kötüye kullanılması durumunda rastgele kod yürütülmesine olanak verebilecek birden fazla sanal alan kaçışı da dahil olmak üzere altı yüksek etkili kusuru giderir.
Bu düzeltmeler aynı zamanda Firefox ESR 140.7 ve Thunderbird ESR 140.7/147 için de geçerli olup, tarayıcı hedefli saldırıların arttığı bir dönemde kullanıcıları hemen güncelleme yapmaya teşvik etmektedir.
Sürüm, hata raporları ve bulanıklaştırma yoluyla ortaya çıkarılan karmaşık tehditlere karşı koyar. Büyük oranda araştırmacı Oskar L.
CVE-2026-0891 ve CVE-2026-0892’deki bellek güvenliği hataları, yolsuzluk kanıtı gösterdi ve büyük olasılıkla çaba gösterilerek istismar edilebilir. Aktif bir kötüye kullanım doğrulanmadı ancak grafik kusurları kümesi, WebGL ve Canvas oluşturmada devam eden riskleri vurguluyor.
Yüksek Etkili Sandbox Kaçışları ve Bellek Bozulması
Çeşitli güvenlik açıkları sanal alandan kaçışlara olanak tanıyarak Firefox’un izolasyon mekanizmalarını ihlal ediyor. CVE-2026-0877, DOM azaltımını atlamaya izin verirken CVE-2026-0878 ila CVE-2026-0880, Graphics ve CanvasWebGL’deki sınır koşullarından ve tamsayı taşmalarından yararlanır.
CVE-2026-0881 Mesajlaşma Sistemini hedef alıyor. IPC’deki ücretsiz kullanım sonrası (CVE-2026-0882) bu sayıya eklenir. Sürüm 147’de düzeltilen bu yüksek etkili sorunlar, saldırganların korumalı alan bağlamlarının dışında kod çalıştırmasına izin verebilir.
| CVE Kimliği | Açıklama/Bileşen | Darbe | Muhabir(ler) |
|---|---|---|---|
| CVE-2026-0877 | DOM’da azaltma atlaması: Güvenlik bileşeni | Yüksek | Üzgünüm |
| CVE-2026-0878 | Graphics: CanvasWebGL bileşenindeki yanlış sınır koşulları nedeniyle korumalı alandan kaçış | Yüksek | Oskar L |
| CVE-2026-0879 | Grafik bileşenindeki yanlış sınır koşulları nedeniyle korumalı alandan kaçış | Yüksek | Oskar L |
| CVE-2026-0880 | Grafik bileşenindeki tamsayı taşması nedeniyle korumalı alandan kaçış | Yüksek | Oskar L |
| CVE-2026-0881 | Mesajlaşma Sistemi bileşeninde korumalı alandan kaçış | Yüksek | Andrew McCreight |
| CVE-2026-0882 | IPC bileşeninde ücretsiz kullanım | Yüksek | Randell Jesup |
| CVE-2026-0883 | Ağ bileşeninde bilgilerin açıklanması | Ilıman | Vladislav Plyatsok |
| CVE-2026-0884 | JavaScript Motoru bileşeninde ücretsiz kullanımdan sonra kullanın | Ilıman | Gary Life ve Nan Wang |
| CVE-2026-0885 | JavaScript’te ücretsiz kullanımdan sonra kullanın: GC bileşeni | Ilıman | İrvan Kurniawan |
| CVE-2026-0886 | Grafik bileşeninde yanlış sınır koşulları | Ilıman | Oskar L |
| CVE-2026-0887 | Tıklama sorunu, PDF Görüntüleyici bileşeninde bilgilerin açığa çıkması | Ilıman | Lyra yeniden yaratıldı |
| CVE-2026-0888 | XML bileşeninde bilgilerin açıklanması | Düşük | İskele Angelo Vendrame |
| CVE-2026-0889 | DOM’da hizmet reddi: Hizmet Çalışanları bileşeni | Düşük | Elysee Franchuk, Caleb Lerch |
| CVE-2026-0890 | DOM’da kimlik sahtekarlığı sorunu: Kopyala & Yapıştır ve Sürükle & Bırak bileşeni | Düşük | Edgar Chen |
| CVE-2026-0891 | Firefox ESR 140.7, Thunderbird ESR 140.7, Firefox 147 ve Thunderbird 147’de bellek güvenliği hataları düzeltildi | Yüksek | Andrew McCreight, Dennis Jackson ve Mozilla Fuzzing Ekibi |
Mozilla’nın bulanıklaştırma ekibi, CVE-2026-0891 (ESR 140.6, Firefox 146, Thunderbird 146’yı etkileyen) ve CVE-2026-0892’de (Firefox/Thunderbird 146) düzeltilen bellek güvenliği hatalarını tespit etti. 1964722 ve 2004443 gibi hatalar, sömürülmeye hazır yolsuzluk kalıpları sergiliyordu.
Kuruluşlar, Firefox’un otomatik güncelleyicisi veya yönetici konsolları aracılığıyla güncellemelere öncelik vermelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
