Mozilla, Chrome’un son sıfır gün güvenlik açığına benzer kritik Firefox hatası


28 Mart 2025Ravie LakshmananSıfır gün / tarayıcı güvenliği

Mozilla

Mozilla, Windows için Firefox tarayıcısını etkileyen kritik bir güvenlik kusurunu ele almak için güncellemeler yayınladı, yalnızca Google’ın sıfır gün olarak aktif sömürü altına giren Chrome’da benzer bir kusur yaptıktan günler sonra.

Güvenlik güvenlik açığı, CVE-2025-2857, bir sanal alan kaçışına yol açabilecek yanlış bir sapın vakası olarak tanımlanmıştır.

“Son Chrome Sandbox Kaçışını (CVE-2025-2783) takiben, çeşitli Firefox geliştiricileri IPC’mizde benzer bir model belirledi [inter-process communication] Kod, “dedi Mozilla bir danışmanlık içinde.

Siber güvenlik

“Uzaklaşan bir çocuk süreci, ebeveyn sürecinin kasıtsız olarak güçlü bir tutamağı döndürmesine neden olabilir ve bu da bir sanal alan kaçışına yol açabilir.”

Firefox ve Firefox ESR’yi etkileyen eksiklik, Firefox 136.0.4, Firefox ESR 115.21.1 ve Firefox ESR 128.8.1’de ele alındı. CVE-2025-2857’nin vahşi doğada sömürüldüğüne dair bir kanıt yoktur.

Geliştirme, Google’ın Rusya’daki medya kuruluşlarını, eğitim kurumlarını ve hükümet kuruluşlarını hedefleyen saldırıların bir parçası olarak vahşi doğada sömürülen CVE-2025-2783’ü düzeltmesi için Chrome sürümünü 134.0.6998.177/.178 yayınladığı zaman geliyor.

2025 yılının ortalarında faaliyeti tespit eden Kaspersky, enfeksiyonun belirtilmemiş kurbanların kimlik avı e-postalarında özel olarak hazırlanmış bir bağlantıya tıkladıktan sonra meydana geldiğini ve saldırgan kontrollü web sitesinin Chrome kullanılarak açıldığını söyledi.

CVE-2025-2783’ün, sanal alanının sınırlarından kurtulmak ve uzaktan kod yürütülmesini sağlamak için web tarayıcısında bilinmeyen başka bir istismarla birlikte zincirlendiği söylenir. Bununla birlikte, hatayı yamalamak tüm saldırı zincirini etkili bir şekilde engeller.

Siber güvenlik

ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) o zamandan beri, federal ajansların 17 Nisan 2025 yılına kadar gerekli hafifletmeleri uygulamasını gerektiren bilinen sömürülen güvenlik açıklarına (KEV) kataloğuna kusur eklemiştir.

Kullanıcıların, potansiyel risklere karşı korumak için tarayıcı örneklerini en son sürümlere güncellemeleri önerilir.

Bu makaleyi ilginç mi buldunuz? Bizi takip edin Twitter ve daha fazla özel içeriği okumak için LinkedIn.





Source link