Mozilla, popüler web tarayıcısında Firefox’ta acilen iki kritik 0 günlük güvenlik açıkını yamaladı, bu da her ikisi de uzak saldırganların kullanıcı sistemlerinde kötü amaçlı kod yürütmesine izin verebilir.
CVE-2025-4918 ve CVE-2025-4919 olarak izlenen kusurlar 17 Mayıs 2025’te açıklandı ve Firefox sürüm 138.0.4’te ele alındı. Güvenlik uzmanları, vahşi doğada aktif sömürü muhtemel olduğundan, tüm kullanıcılara hemen güncellenmesini şiddetle tavsiye ediyorlar.
İlk güvenlik açığı olan CVE-2025-4918, Trend Micro’nun Sıfır Günü girişimi ile işbirliği içinde çalışan Palo Alto Networks’ten Edouard Bochin ve Tao Yan tarafından bildirildi.
.png
)
Bu kusur, Firefox’un JavaScript motoru vaat nesnelerini çözdüğünde ortaya çıkan sınır dışı bir erişim koşulu etrafında döner.
JavaScript vaatleri, modern web uygulamalarında eşzamansız işlemlerin işlenmesi için yaygın olarak kullanılmaktadır ve hafıza sınırlarının uygunsuz yönetimi saldırganların kapısını açabilir.
Bu kusurdan yararlanarak, uzak bir saldırgan sınır dışı bir okuma veya yazma işlemi gerçekleştirebilir, potansiyel olarak veri sızıntısına, tarayıcı çöküşlerine veya hatta tarayıcı bağlamında keyfi kodun yürütülmesine yol açabilir.
Temel teknik sorun, Promise nesneleri çözüldüğünde belleğin yanlış işlenmesini içerir ve hazırlanmış JavaScript’in tarayıcının dahili bellek alanını manipüle etmesine izin verir.
Bu tür güvenlik açıkları, genellikle kötü niyetli bir web sayfasını ziyaret ederek tetiklenebileceği için özellikle tehlikelidir.
Bu, saldırganların herhangi bir ek kullanıcı etkileşimi gerektirmediği ve düzeltmenin risk profilini ve aciliyetini büyük ölçüde artırdığı anlamına gelir.
Dizi dizin karışıklığı
CVE-2025-4919 olarak izlenen ikinci 0 günlük kusur, Güvenlik Araştırmacısı Manfred Paul tarafından da keşfedildi, ayrıca Trend Micro’nun Sıfır Gün Girişimi ile birlikte çalıştı.
Bu güvenlik açığı, özellikle dizi işlemlerinde doğrusal toplamları kullanırken Firefox JavaScript motorunun optimizasyon rutinlerine dayanır.
Optimizasyon işlemi sırasında uygunsuz doğrulama, bir saldırganın dizi dizin boyutlarını karıştırmasına izin verebilir ve yine sınır dışı okuma veya yazma koşullarına izin verir.
CVE-2025-4919’dan yararlanan bir saldırgan, tarayıcının beklenmedik bellek alanlarından okunacak veya yazacak şekilde dizi boyutlarını ve endekslerini manipüle eden kötü niyetli JavaScript oluşturabilir.
Bu tür bellek yolsuzluğu, güvenlik kontrollerini atlamak ve sonuçta uzaktan kod yürütülmesini sağlamak için yaygın bir tekniktir.
Her iki güvenlik açığının JavaScript Motor-Central’in temel yönlerini tüm modern web işlevselliğine etkilediğine dair vahiy, potansiyel etki son derece geniştir.
Her iki güvenlik açıkları da Mozilla tarafından “eleştirel” olarak derecelendirilmiştir ve keyfi kod yürütme olasılığı ve gerçek dünya saldırılarında sömürü olasılığı nedeniyle en yüksek şiddeti yansıtır.
Mozilla’nın güvenlik danışma süreci kapsamında, Firefox 138.0.4’ün her iki kusuru da ele alan ilk versiyon olarak hizmet ettiği kamuya açıklandı.
Mozilla, sorumlu açıklamaları için Discoverers ve Sıfır Gün Girişimi’ne güvendi ve güvenlik açıklarının yaygın sömürüden önce yamalanmasına izin verdi.
Rapora göre, güvenlik araştırmacıları ve kuruluşlar alarm veriyor: kullanıcılar, en son Firefox güncellemesini derhal yüklemeli, çünkü saldırganların taze tarayıcı istismarlarını hızlı bir şekilde kötü amaçlı kampanyalara dahil ettikleri biliniyor.
Hemen güncelleyemeyenler için, tanıdık olmayan web sitelerini ziyaret etmekten kaçınmak ve tarayıcı ayarları veya güvenlik uzantıları aracılığıyla JavaScript yürütmeyi geçici olarak devre dışı bırakmanız şiddetle tavsiye edilir.
Tarayıcıların ve diğer yazılımların düzenli olarak güncellenmesi, bu hızla gelişen tehditlere karşı en etkili savunmalardan biri olmaya devam ediyor.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!