Mozilla, 22 Mart 2024'te Firefox tarayıcısının 124.0.1 sürümünü, kanal kullanıcılarına (geliştirici olmayanların çoğunun çalıştırdığı varsayılan kanal) sunmak üzere yayınladı. Yeni sürüm, iki kritik güvenlik açığını giderir. Güvenlik açıklarından biri yalnızca masaüstündeki Firefox'u etkiliyor ve Firefox'un mobil sürümlerini etkilemiyor.
Otomatik güncellemeleri etkinleştiren Windows kullanıcılarının, tarayıcıyı açtıktan hemen sonra veya kısa bir süre sonra yeni sürüme sahip olmaları gerekir.
Sürüm numarası 124.0.1 veya üzeri olmalıdır
Diğer kullanıcılar şu talimatları izleyerek tarayıcılarını güncelleyebilir:
- Firefox araç çubuğunun sağ tarafındaki menü düğmesine (3 yatay şerit) tıklayın, Yardımve seçin Firefox hakkında. Mozilla Firefox Hakkında penceresi açılacaktır.
- Firefox güncellemeleri otomatik olarak kontrol edecektir. Bir güncelleme mevcutsa indirilecektir.
- İndirme işlemi tamamlandığında sizden istenecektir, ardından tıklayın. Firefox'u güncellemek için yeniden başlatın.
Firefox'un güncellemeleri yükleme şeklini değiştirmek için şunları yapabilirsiniz:
- Menü düğmesine (3 yatay şerit) tıklayın ve Ayarlar.
- İçinde Genel panele gidin Firefox Güncellemeleri bölüm.
- Burada ayarları beğeninize göre ayarlayabilirsiniz.
Güvenlik açıkları
Güvenlik açıkları, Pwn2Own Vancouver 2024 hackleme yarışması sırasında bulundu. Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) veritabanı, kamuya açıklanan bilgisayar güvenlik kusurlarını listeler. Bu güncellemede yamalanan CVE'ler şunlardır:
CVE-2024-29943: Bir saldırgan, aralık tabanlı sınır kontrolünün ortadan kaldırılmasını kandırarak bir JavaScript nesnesinde sınır dışı okuma veya yazma işlemi gerçekleştirebildi. Bu güvenlik açığı Firefox < 124.0.1'i etkilemektedir.
Sınırların dışında bir okuma veya yazma, bir programın ayrılmış bellek alanının sınırları dışında erişime sahip olması durumunda meydana gelebilir ve bu da potansiyel olarak çökmeye veya rastgele kod yürütülmesine veya bilgilerin ifşa edilmesine yol açabilir. Bu, verinin boyutunun tahsis edilen bellek alanının boyutundan büyük olması, verilerin bellek alanı içinde yanlış bir konuma yazılması veya programın verinin boyutunu veya konumunu yanlış hesaplaması durumunda meydana gelebilir.
CVE-2024-29944: Bir saldırgan, ayrıcalıklı bir nesneye, ana süreçte rastgele JavaScript yürütülmesine izin verecek bir olay işleyicisi enjekte edebildi. Not: Bu güvenlik açığı yalnızca Masaüstü Firefox'u etkiler, Firefox'un mobil sürümlerini etkilemez. Bu güvenlik açığı Firefox < 124.0.1 ve Firefox ESR < 115.9.1'i etkilemektedir.
Firefox ESR (Genişletilmiş Destek Sürümü), okullar, üniversiteler, işletmeler ve toplu dağıtımlar için genişletilmiş desteğe ihtiyaç duyan diğer kuruluşlar dahil olmak üzere kuruluşlar için sunulmaktadır.
Olay işleyicisi, uygulamada bir olay yürütüldüğünde uygulama veya işletim sistemi tarafından yürütülen bir program işlevidir.
Programlama dilleri, programları basit, yeniden kullanılabilir kod parçaları halinde düzenlemek için sınıflar ve nesneler kavramı üzerine kurulmuştur. Ayrıcalıklı nesne, yükseltilmiş izinlere sahip bir işlev veya kod parçasıdır.
Bu iki güvenlik açığı birlikte araştırmacının Firefox'tan sanal alandan kaçmasına olanak sağladı. Korumalı alan, tarayıcı aracılığıyla sisteme giren kötü amaçlı içeriğe karşı koruma sağlamak için kullanılır.
Yalnızca güvenlik açıklarını rapor etmiyoruz; bunları belirliyor ve eyleme öncelik veriyoruz.
Siber güvenlik riskleri asla bir manşetin ötesine yayılmamalıdır. ThreatDown Güvenlik Açığı ve Yama Yönetimi'ni kullanarak güvenlik açıklarını yedekte tutun.