Mozilla, dünya çapında Firefox kullanıcılarına acil bir uyarı yayınladı ve hayati bir kök sertifikasının süresinin dolacağı 14 Mart 2025’ten önce tarayıcılarını güncelleme kritik ihtiyacını vurguladı.
Bu son kullanma süresi, uzantıları devre dışı bırakmak, DRM korumalı içerik çalmayı kırmak ve kullanıcıları önemli güvenlik risklerine maruz bırakmakla tehdit eder.
Uyarı, milyonlarca Firefox kullanıcısını birden fazla platformda etkiler, hala 128’den erken sürümleri veya 115.13’ten önce ESR sürümlerini çalıştırıyor.
Bu sorunun çekirdeği, Firefox’un güvenlik altyapısı için gerekli bir kök sertifikası içermektedir.
Bu sertifika, çeşitli Mozilla projelerinde web sitelerinin, eklentilerin ve yazılım güncellemelerinin gerçekliğini doğrulayan güvenilir bir otorite olarak hizmet eder.
Sertifikasyon sona erme
Bu sertifika 14 Mart’ta sona erdiğinde, buna dayanan sistemler artık imzalı içeriği doğrulayamayacak ve yaygın bozulma düzgün bir şekilde oluşturamayacaktır.
Mozilla, “Firefox’u güncellemeden kullanmak mümkün olsa da, devre dışı bırakılan eklentiler, DRM medya zorlukları ve diğer kesintiler gibi sorunlar yaşayabilirsiniz” dedi.
Bu teknik sınırlama sadece rahatsız edici değildir, aynı zamanda tarayıcının güvenlik mimarisinde temel bir molayı temsil eder. Sertifika süresinin sona ermesi, Firefox içindeki geniş bir işlevsellik yelpazesini etkiler.
Eklentilerin güvenilir kaynaklardan gelmesini sağlayan XPinstall.Signatures.Signatures.Signature.Sequired doğrulama sistemi, son kullanma tarihinden sonra uzantıları doğrulamayacaktır.
Benzer şekilde, DRM korumalı içerik için sertifika doğrulama süreci durur ve bu güvenlik önlemlerine dayanan medyanın çalınmasını önler.
Mozilla, sonuçların sadece işlevsellik sorunlarının çok ötesine geçtiğini vurgulamaktadır.
Şirket, destek belgesinde “kök sertifikasının süresi dolmadan önce Firefox’u güncellememenin sizi önemli güvenlik tehditlerine maruz bırakabileceğini belirtti. “
Güncel güvenlik konfigürasyonları olmadan, kullanıcılar uzlaşılmış şifreler, zararlı eklentilere maruz kalma ve hileli web sitelerini tanımlayamama dahil olmak üzere kötü amaçlı etkinliklere karşı savunmasız hale gelir.
Kök sertifikası sorunu Windows, MacOS, Linux ve Android platformlarında Firefox’u etkiler.
IOS kullanıcıları, Mozilla’nın kök sertifikalarından bağımsız olarak çalışan farklı bir sertifika yönetim sistemi kullanan Apple’ın mobil platformundaki Firefox nedeniyle etkilenmez.
Bu durum, Mayıs 2019’da, süresi dolmuş bir imza sertifikasının dünya çapında tüm Firefox uzantılarını aniden devre dışı bıraktığı bir önceki olaya çarpıcı bir benzerlik taşımaktadır.
Bu etkinlik kullanıcıları şaşırttı, önemli bir bozulmaya neden oldu ve Mozilla’nın bir düzeltme için mücadele etmesini istedi.
Bu durumdan farklı olarak, Mozilla şimdi önceden uyarı sağlıyor ve kullanıcılara 14 Mart tarihinden önce hazırlanmaları için birkaç hafta veriyor.
Süreci ve Gereksinimleri Güncelle
Firefox’u güncellemek nispeten basittir.
Masaüstü kullanıcıları, otomatik bir güncelleme kontrolü başlatacak olan Firefox hakkında Menü> Yardım> ‘da gezinerek mevcut sürümlerini kontrol edebilir.
Android kullanıcılarının platformlarının App Store aracılığıyla güncelleme yapması gerekiyor. Halen Windows 7/8/8.1 veya daha eski macOS sürümlerini (10.12-10.14) çalıştıran kullanıcıların işlevselliği sürdürmek için en azından Firefox ESR 115.13’te olduklarından emin olmaları gerekir.
128’in altındaki Firefox sürümleri (Temmuz 2024’te piyasaya sürüldü), sertifika süresi dolduğunda tüm sorunları yaşayacaktır.
Firefox şu anda küresel tarayıcı pazar payının yüzde üçünden daha azına sahip olduğundan, bu sertifika sona erme, Mozilla için zor bir zamanda geliyor – 2009’da yaklaşık üçte bir zirveden önemli bir düşüş.
Bu güncellemenin aciliyeti, Mozilla’nın piyasa pozisyonuna rağmen güvenlik standartlarını koruma taahhüdünü yansıtmaktadır.
Mozilla, tüm kullanıcıların kesintisiz bir tarama deneyimi ve ortaya çıkan çevrimiçi tehditlere karşı korunma sağlamak için derhal Firefox 128 veya daha yüksek çalıştırdıklarını doğrulamasını önerir.
Are you from SOC/DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Start Now for Free.