Google’ın devlet destekli saldırganlar tarafından kullanılan krom sıfır gün güvenlik açığı olan CVE-2025-2783’ü düzeltmesi, Firefox geliştiricilerini tarayıcının benzer bir kusura sahip olup olmadığını kontrol etmeye teşvik etti ve buldular.
Şu anda Firefox Bug’ın (CVE-2025-2857) aktif sömürü altında olduğuna dair bir gösterge yok, ancak bu şaşırtıcı olmamalı: StatCounter’a göre Chrome, dünya çapında İnternet kullanıcılarının% 66,3’ü tarafından kullanılmaktadır ve Firefox sadece% 2.62.
CVE-2025-2857 HAKKINDA
CVE-2025-2783, onu işaretleyen ve Chromium’un süreçler arası iletişim (IPC) çerçevesi Mojo’da bulunan Kaspersky araştırmacıları tarafından “Google Chrome’un Sandbox ve Windows İşletim Sistemi’nin kesişiminde mantıklı bir hata” olarak tanımlanmıştır.
CVE-2025-2857, Firefox’un IPC kodunda da benzer şekilde keşfedildi ve uzlaşılmış bir çocuk sürecinin ana süreci “kasıtsız olarak güçlü bir tutamağı döndürerek bir sanal alan kaçışına yol açmasına” izin verdi.
Mozilla, Firefox V136.0.4’te CVE-2025-2857’yi, Firefox Genişletilmiş Destek Sürümü (ESR) V128.8.1’i ve Firefox ESR V115.21.1’i Windows için sabitledi. TOR tarayıcısı Firefox ESR’nin değiştirilmiş bir sürümünden oluşturulduğundan, TOR projesi ayrıca Windows kullanıcıları için bir acil durum güvenlik güncellemesi (v14.0.8) yayınladı ve hemen güncellemelerini tavsiye etti.
Opera tarayıcı geliştiricileri, CVE-2025-2783 için Güvenlik Yamasını zaten geri getirdiler.
Opera, Microsoft Edge, Cesur ve Vivaldi tarayıcılar da krom koduna dayanır ve muhtemelen yakında CVE-2025-2783 için bir yama alacaktır.
Kaspersky araştırmacıları, CVE-2025-2783’ün başlangıçta başlarını çizerek bıraktığını söyledi: “Açıkçası kötü niyetli veya yasak bir şey yapmadan, saldırganların Google Chrome’un sanal alan korumasını varmış gibi atlamasına izin verdi.”
Ayrıca CVE-2025-2783’ün, saldırganların uzaktan kod yürütülmesine izin veren başka bir güvenlik açığı ile birlikte sömürüldüğünü, ancak bu kusurun şimdilik bir gizem olmaya devam ettiğini belirttiler. Araştırmacılar, saldırganlar tarafından kullanılan kötü amaçlı yazılım ve teknikler olan CVE-2025-2783 Sümbüsü hakkında teknik ayrıntılar içeren ayrıntılı bir rapor yayınlamaya söz verdiler.