Mozilla Firefox 117’nin piyasaya sürülmesiyle birlikte, yedisi ‘Yüksek Önem Düzeyinde’ kusur ve dört bellek bozulması kusuru da dahil olmak üzere 13 güvenlik açığı yamalı hale getirildi.
Mozilla, tarayıcının IPC CanvasTranslator, IPC ColorPickerShownCallback, IPC FilePickerShownCallback ve JIT UpdateRegExpStatics bileşenlerinin tamamının bu bellek bozulması sorunlarından etkilendiğini ve bunun da potansiyel olarak istismar edilebilir çökmelere yol açabileceğini söyledi.
Yüksek Düzeyde Kusurların Ele Alınması
Sonakkbi tarafından bildirilen, CVE-2023-4573 (IPC CanvasTranslator’da Bellek bozulması) olarak takip edilen yüksek önemdeki kusur giderildi.
IPC yoluyla oluşturma verileri alınırken mStream başlatılmış ve daha sonra yok edilmiş olabilir; bu da, serbest kullanımdan sonra kullanıma ve istismar edilmiş olabilecek bir çökmeye yol açabilir.
CVE-2023-4574 olarak izlenen IPC ColorPickerShownCallback’teki bellek bozulması düzeltildi. Sorun Sonakkbi tarafından bildirildi.
Mozilla tavsiyesinde, “Renk Seçici penceresini göstermek için IPC üzerinden bir geri arama oluştururken, aynı anda birden fazla geri arama oluşturulabilir ve sonunda geri aramalardan biri biter bitmez hepsi aynı anda yok edilebilir” dedi.
CVE-2023-4575 olarak izlenen IPC FilePickerShownCallback’teki yüksek önemdeki Bellek bozulması hatası giderildi. Sorun Sonakkbi tarafından bildirildi.
Aynı geri aramaların birden çok örneği aynı anda üretilmiş olabilir ve son olarak, Dosya Seçici penceresini görüntülemek için IPC üzerinden bir geri arama oluşturulurken geri aramalardan biri biter bitmez hepsi aynı anda kaldırıldı.
Fffvr tarafından bildirilen, RecordedSourceSurfaceCreation’da CVE-2023-4576, Tamsayı Taşması olarak takip edilen kusur düzeltildi.
Mozilla, “Windows’ta, RecordedSourceSurfaceCreation’da bir tamsayı taşması meydana gelebilir, bu da bir yığın arabellek taşmasının potansiyel olarak hassas verileri sızdırmasına neden olarak sanal alandan kaçışa yol açabilecek” dedi.
Bu sorundan yalnızca Windows için Firefox etkilenmektedir. Diğer işletim sistemleri etkilenmez.
CVE-2023-4577 olarak izlenen yüksek önemdeki kusur, JIT UpdateRegExpStatics’teki bellek bozulması Lukas Bernhard tarafından rapor edildi.
UpdateRegExpStatics, startupStringHeap’i almaya çalıştığında, yönteme girmeden önce zaten çöp toplanmış olabilir ve bu da potansiyel olarak yararlanılabilir bir çökmeye neden olabilir.
Yüksek önemdeki kusur CVE-2023-4584 olarak takip edildi; Firefox 117, Firefox ESR 102.15, Firefox ESR 115.2, Thunderbird 102.15 ve Thunderbird 115.2’de düzeltilen bellek güvenliği hataları, Mozilla Fuzzing Ekibi Randell Jesup, Andrew McCreight tarafından rapor edildi.
Son olarak CVE-2023-4585 olarak takip edilen güvenlik açığı, Firefox 117, Firefox ESR 115.2 ve Thunderbird 115.2’deki bellek güvenliği hataları giderildi.
Bu sorun Donal Meehan, Sebastian Hengst ve Mozilla Fuzzing Ekibi tarafından bildirildi.
Mozilla, “Bu hatalardan bazıları hafıza bozulmasına dair kanıtlar gösterdi ve yeterli çabayla bunlardan bazılarının rastgele kod çalıştırmak için kullanılabileceğini varsayıyoruz” dedi.
Bu tarayıcı güncellemesinde, site sahtekarlığına, özel verilerin ifşa edilmesine, dosyaların izinsiz indirilmesine ve arabellek taşmasına izin verebilecek “orta” ve “düşük önem” kusurlarındaki altı sorun giderildi.
Mozilla, 12’si Firefox 117’de düzeltilen 14 güvenlik açığına yönelik güncellemeler içeren Firefox ESR 115.2’nin yayınlandığını duyurdu.
Bizi Google Haberler, Linkedin’den takip ederek en son Siber Güvenlik Haberlerinden haberdar olun, heyecanve Facebook.