Mozilla, saldırganların kullanıcıların sistemlerinde rastgele kod çalıştırmasına olanak tanıyan bir dizi yüksek önemdeki güvenlik açığını gideren Firefox 145’i kullanıma sundu.
11 Kasım 2025’te duyurulan sürüm, öncelikli olarak tarayıcının grafikleri, JavaScript ve DOM bileşenlerindeki kusurları yamalayarak, olası güvenlik açıklarından kaynaklanan riskleri azaltmak için acil yükseltmeleri teşvik ediyor.
Güncelleme, sekizi yüksek etkili, dördü orta ve biri düşük etkili olmak üzere 15 CVE’yi ele alıyor. Göze çarpan sorunlardan biri, Mozilla’nın Fuzzing Ekibi tarafından Firefox 144 ve Thunderbird 144’te keşfedilen bir dizi bellek güvenliği hatası olan CVE-2025-13027’dir.
Bu kusurlar bellekte bozulma belirtileri gösteriyordu ve uzmanlar kararlı saldırganların, tarayıcı sanal alanlarını atlayarak ve tüm cihazları tehlikeye atarak uzaktan kod yürütmek için bu kusurlardan yararlanabileceğine inanıyor.
Bu tür güvenlik açıkları genellikle arabellek taşmalarından veya hatalı bellek kullanımından kaynaklanır ve bu da onları karmaşık kötü amaçlı yazılım kampanyalarının ana hedefi haline getirir.
Firefox 145 – Güvenlik Güncellemesi
Grafikler ve WebGPU bileşenleri düzeltmelerin yükünü taşıyordu. Atte Kettunen ve Oskar L tarafından bildirilen CVE-2025-13021, CVE-2025-13022 ve CVE-2025-13025, WebGPU işlemede yanlış sınır koşullarını içermektedir.
Bunlar, sınır dışı okuma veya yazma işlemlerini tetikleyebilir ve kötü amaçlı web içeriğinin işlenmesi sırasında potansiyel olarak çökmelere veya kod enjeksiyonuna yol açabilir.
Daha endişe verici bir şekilde, CVE-2025-13023 ve CVE-2025-13026, korumalı alandan kaçışlara olanak tanıyarak kısıtlı kodun sanal alandan kaçmasına ve hassas sistem kaynaklarına erişmesine olanak tanır.
Muhabirler Oskar L ve Jamie Nicol, bu hataların WebGPU’nun yüksek performanslı görüntü oluşturma özelliğinden nasıl yararlandığını vurguladı; bu özellik, web uygulamaları grafik yoğunluklu hale geldikçe giderek daha fazla hedefleniyor.
JavaScript ile ilgili kusurlar aciliyeti artırıyor. Igor Morgenstern’in CVE-2025-13016’sı WebAssembly’deki sınır hatalarını düzeltirken, Qious Secure’un Project KillFuzz’ı tarafından ortaya çıkarılan CVE-2025-13024, kötü amaçlı kodları yürütme için optimize edebilecek JIT yanlış derlemesini çözüyor.
Grafik bileşenindeki bir yarış durumu (CVE-2025-13012, Irvan Kurniawan) zamanlamaya dayalı saldırı riskini daha da artırır.
Orta etkili sorunlar arasında DOM bileşenlerinde aynı kaynak politikasının atlanması (CVEs-2025-13017, -13019) ve güvenlik ve HTML ayrıştırmadaki hafifletmeler (CVEs-2025-13018, -13013) yer alıyor.
Ücretsiz kullanım hataları (CVEs-2025-13020, -13014) gibi WebRTC güvenlik açıkları ses/video akışlarını açığa çıkarabilirken, düşük etkili bir kimlik sahtekarlığı hatası (CVE-2025-13015) kullanıcı arayüzü bütünlüğünü etkileyebilir.
| CVE Kimliği | Bileşen | Tanım |
|---|---|---|
| CVE-2025-13021 | Grafik: WebGPU | Yanlış sınır koşulları |
| CVE-2025-13022 | Grafik: WebGPU | Yanlış sınır koşulları |
| CVE-2025-13012 | Grafik | Yarış durumu |
| CVE-2025-13023 | Grafik: WebGPU | Yanlış sınır koşulları nedeniyle korumalı alandan kaçış |
| CVE-2025-13016 | JavaScript: WebAssembly | Yanlış sınır koşulları |
| CVE-2025-13024 | JavaScript Motoru: JIT | JIT yanlış derlemesi |
| CVE-2025-13025 | Grafik: WebGPU | Yanlış sınır koşulları |
| CVE-2025-13026 | Grafik: WebGPU | Yanlış sınır koşulları nedeniyle korumalı alandan kaçış |
| CVE-2025-13017 | DOM: Bildirimler | Aynı kaynak politikasını atlama |
| CVE-2025-13018 | DOM: Güvenlik | Azaltma bypass’ı |
| CVE-2025-13019 | DOM: İşçiler | Aynı kaynak politikasını atlama |
| CVE-2025-13013 | DOM: Çekirdek ve HTML | Azaltma bypass’ı |
| CVE-2025-13020 | WebRTC: Ses/Video | Ücretsiz kullanım sonrası |
| CVE-2025-13014 | Ses/Video | Ücretsiz kullanım sonrası |
| CVE-2025-13015 | Firefox | Adres sahteciliği sorunu |
| CVE-2025-13027 | Çoklu (Bellek güvenliği) | Firefox 145 ve Thunderbird 145’te düzeltilen bellek güvenliği hataları; Bellek bozulmasının kanıtı, rastgele kod yürütme potansiyeli |
Mozilla, herhangi bir açık istismarın doğrulanmadığını ancak yüksek etkinin, özellikle de keyfi kod yürütme potansiyelinin hızlı eylem gerektirdiğini vurguluyor. Yamasız sürümlerdeki kullanıcılar, rastgele indirmeler veya kimlik avı sitelerinden kaynaklanan yüksek risklerle karşı karşıyadır.
Öneri aynı zamanda benzer bellek sorunları için Thunderbird 145’i de kapsar. Güvende kalmak için mozilla.org adresinden Firefox 145’i indirin veya otomatik güncellemeleri etkinleştirin. Kuruluşlar güvenlik açığı bulunan örnekleri taramalı ve özel uygulamalarda WebGPU kullanımını incelemelidir.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
