Mozilla, 18 Şubat 2025’te Firefox 135.0.1’i, birden fazla yüksek şiddetli bellek güvenlik güvenlik açıklarını yamalamak için acil durum güvenlik güncellemesi olarak yayınladı.
Güncelleme, özellikle keyfi kod yürütme ve kullanıcı sistemlerinden ödün verebilecek kritik bir kusur olan CVE-2025-1414’ü ele alıyor.
Bu, 2025’te Firefox için ilk büyük güvenlik yamasını işaret ediyor ve tarayıcı güvenliğinde devam eden zorlukların altını çiziyor.
Yüksek şiddetli hafıza yolsuzluk riskleri
Mozilla’nın güvenlik ekibinin “yüksek” etkisi olarak sınıflandırılan güvenlik açıkları, Firefox 135’in JavaScript motorundaki bellek güvenliği kusurlarından kaynaklandı ve grafik oluşturma bileşenleri.
Bu hatalar, saldırganların tarayıcıları çökertmek veya kötü amaçlı kod yürütmek için bellek yolsuzluğunu kullanabileceği senaryolar oluşturdu.
Mozilla’nın danışmanlığına göre, yamalı güvenlik açıklarından en az ikisi kontrollü ortamlarda sömürülebilirlik kanıtı gösterdi, ancak aktif saldırı doğrulanmadı.
Mozilla mühendisi Andrew McCreight, kusurları bildirmekle kredilendirildi, sorunların karmaşık web içeriğini ele alan çok iş parçacıklı süreçlerde yarış koşullarından kaynaklandığını belirtti.
McCreight, “Bellek güvenliği, büyük ölçekli yazılım geliştirmede en kalıcı zorluklardan biri olmaya devam ediyor” dedi.
Aciliyet ve hafifletme güncelleme
Firefox 135.0.1, Windows, MacOS ve Linux’taki olanlar da dahil olmak üzere tüm kullanıcılar için zorunlu bir güncelleme olarak işaretlenir.
Mozilla, güvenlik açıklarının tüm platformlarda Firefox 135’i etkilediğini doğruladı, ancak mobil sürümler (Android/iOS) etkilenmedi.
Otomatik güncellemeleri etkinleştirilmiş kullanıcıların yamaya zaten sahip olması gerekirken, diğerleri tarayıcı menüsünde “Firefox Hakkında” aracılığıyla manuel bir güncellemeyi tetikleyebilir.
Güncelleme, Mozilla’nın bellek güvenliği kusurları için hızlandırılmış yanıt protokolünü takip ederek 2023’ün CVE-2023-4863 sıfır gün istismarı gibi önceki olaylardan öğrenilen dersleri yansıtıyor.
Bir Mozilla sözcüsü, “proaktif yama kritiktir – teorik güvenlik açıkları bile modern saldırı sofistike olduğu göz önüne alındığında derhal eylem talep ediyor” diye vurguladı.
Güvenlik araştırmacıları, yamanın hızlı sunumunu övdü, ancak güncellemeleri geciktiren kullanıcıların sürücüden indirme veya bu kusurlardan yararlanan kötü amaçlı reklamlara karşı savunmasız kaldıklarına dikkat ediyor.
Google’ın Project Zero’dan Tavis Ormandy, “Her saat yüksek şiddetli CVE’ler halka açık olduğunda önemlidir” diye uyardı.
Mozilla, 4 Mart 2025’te planlanan Firefox 136’da ek “istikrar geliştirmeleri” planlıyor.
Bu arada, kullanıcılara tarayıcı sürümlerini doğrulamaları ve otomatik güncellemeleri etkinleştirmeleri tavsiye edilir. Firefox Genişletilmiş Destek Sürümü’nü (ESR) kullanan işletmeler, 72 saat içinde ESR 135.1’de geri taşıma düzeltmeleri beklemelidir.
Bu olay, eşleştirilmemiş tarayıcıların birincil saldırı vektörleri olarak hizmet ettiği bir dönemde güncelleme tespitinin kritik rolünü güçlendirir.
Siber tehditler giderek daha karmaşıklaştıkça, Mozilla’nın hızlı yanıtı, açık kaynaklı tarayıcı gelişimini destekleyen işbirlikçi güvenlik ahlakını örneklendiriyor.
Free Webinar: Better SOC with Interactive Malware Sandbox for Incident Response, and Threat Hunting - Register Here