Mozilla Vakfı, 11 Kasım 2025’te birden fazla Firefox sürümü ve platformundaki 16 benzersiz güvenlik açığını ele alan üç kritik güvenlik önerisi yayınladı.
Güncellemeler, Firefox 145, Firefox ESR 115.30 ve Firefox ESR 140.5’i hedef alıyor ve dünya çapında milyonlarca kullanıcıyı etkileyen, Yüksek etki olarak derecelendirilen 12 güvenlik açığı ve Orta düzeyde derecelendirilen ek 14 güvenlik açığı bulunuyor.
| CVE Kimliği | Ürün | Güvenlik Açığı Türü | Şiddet |
|---|---|---|---|
| CVE-2025-13012 | Firefox ESR115.30 | Yarış durumu | Yüksek |
| CVE-2025-13013 | Firefox ESR115.30 | Azaltma bypass’ı | Ilıman |
| CVE-2025-13014 | Firefox ESR115.30 | Ücretsiz kullanım sonrası | Ilıman |
| CVE-2025-13015 | Firefox ESR115.30 | Adres sahteciliği sorunu | Düşük |
| CVE-2025-13012 | Firefox ESR140.5 | Yarış durumu | Yüksek |
| CVE-2025-13016 | Firefox ESR140.5 | Yanlış sınır koşulları | Yüksek |
| CVE-2025-13017 | Firefox ESR140.5 | Aynı kaynak politikasını atlama | Ilıman |
| CVE-2025-13018 | Firefox ESR140.5 | Azaltma bypass’ı | Ilıman |
| CVE-2025-13019 | Firefox ESR140.5 | Aynı kaynak politikasını atlama | Ilıman |
| CVE-2025-13020 | Firefox ESR140.5 | Ücretsiz kullanım sonrası | Ilıman |
| CVE-2025-13021 | Firefox145 | Yanlış sınır koşulları | Yüksek |
| CVE-2025-13022 | Firefox145 | Yanlış sınır koşulları | Yüksek |
| CVE-2025-13023 | Firefox145 | Korumalı alandan kaçış | Yüksek |
| CVE-2025-13024 | Firefox145 | JIT yanlış derlemesi | Yüksek |
| CVE-2025-13025 | Firefox145 | Yanlış sınır koşulları | Yüksek |
| CVE-2025-13026 | Firefox145 | Korumalı alandan kaçış | Yüksek |
| CVE-2025-13027 | Firefox145 | Bellek güvenliği hataları | Yüksek |
En ciddi kusurlar, WebGPU grafik işleme açıkları, JavaScript motoru yanlış derlemesi ve Grafik bileşenindeki yarış koşulları aracılığıyla uzaktan kod yürütmeye ve korumalı alandan kaçış saldırılarına olanak tanır.
Mozilla’nın etki sınıflandırmasına göre, Yüksek etkili güvenlik açıkları saldırganlar tarafından rastgele kod çalıştırmak ve normal tarama etkinliği dışında hiçbir kullanıcı etkileşimi gerektirmeyen kötü amaçlı yazılım yüklemek için kullanılabilir.
CVE-2025-13023 ve CVE-2025-13026 olarak listelenen çeşitli sanal alan kaçış güvenlik açıkları, Firefox’un güvenlik sanal alanı izolasyon mekanizmasını atladıkları için özellikle kritik tehditler teşkil ediyor.
Güvenlik açığı manzarası, kritik bileşenlerdeki ilgili kalıpları ortaya çıkarıyor. WebGPU grafik işleme, belirlenen beş ayrı sınır koşulu kusuruyla önemli bir saldırı yüzeyi olarak ortaya çıkıyor.
Qious Secure’un Project KillFuzz’u da dahil olmak üzere güvenlik ekiplerinden araştırmacılar, özel hazırlanmış JavaScript verileri aracılığıyla rastgele kod yürütülmesine yol açabilecek JIT derleme sorunlarını tespit etti.
Ayrıca, DOM bileşenlerini etkileyen birden fazla Aynı Kaynak politikasının atlanması, saldırganların diğer tarayıcı pencerelerindeki sitelerdeki hassas verilere erişmesine veya meşru web özelliklerine kötü amaçlı kod yerleştirmesine olanak tanıyabilir.
Firefox ESR sürümleri, toplu hata düzeltmeleri (CVE-2025-13027) yoluyla kritik bellek güvenliği açıklarını gideren yamalar aldı.
Bu uzun vadeli destek sürümleri, genişletilmiş sürüm kararlılığı gerektiren kurumsal ve organizasyonel dağıtımlara hizmet ederek, kurumsal güvenlik duruşu için hızlı yamalamayı zorunlu hale getiriyor.
Mozilla, en son sürümlere hemen güncelleme yapmanızı önerir: Firefox 145, Firefox ESR 140.5 veya Firefox ESR 115.30.
Kullanıcılar güncellemelere otomatik güncelleme mekanizmaları aracılığıyla veya Mozilla’nın resmi web sitesini ziyaret ederek erişebilirler.
Tavsiye niteliğindeki ayrıntılar, bu güvenlik açıklarından yararlanmanın, saldırganların güvenliği ihlal edilmiş web siteleri veya ağ saldırıları yoluyla kötü amaçlı içerik sunmasını gerektirdiğini açıklığa kavuşturuyor.
Ancak standart tarama davranışının ötesinde kullanıcı etkileşiminin olmayışı, kullanıcı tabanı genelinde riske maruz kalmayı önemli ölçüde artırıyor.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.