Mozilla, şu anda saldırılarda yararlanılan kritik serbest kullanım sonrası güvenlik açığını gidermek amacıyla Firefox tarayıcısı için bir acil güvenlik güncellemesi yayınladı.
CVE-2024-9680 olarak takip edilen ve ESET araştırmacısı Damien Schaeffer tarafından keşfedilen güvenlik açığı, Animasyon zaman çizelgelerinde sonradan kullanılabilen bir güvenlik açığıdır.
Bu tür bir kusur, serbest bırakılan belleğin program tarafından hala kullanılması durumunda ortaya çıkar ve kötü niyetli aktörlerin kod yürütme gerçekleştirmek için kendi kötü amaçlı verilerini bellek bölgesine eklemelerine olanak tanır.
Firefox’un Web Animasyon API’sinin bir parçası olan animasyon zaman çizelgeleri, web sayfalarındaki animasyonları kontrol eden ve senkronize eden bir mekanizmadır.
Güvenlik bülteninde “Bir saldırgan, Animasyon zaman çizelgelerindeki serbest kullanımdan sonra kullanım özelliğini kullanarak içerik sürecinde kod yürütmeyi başardı” ifadesine yer veriliyor.
“Bu güvenlik açığının vahşi ortamda istismar edildiğine dair raporlar aldık.”
Güvenlik açığı en son Firefox’u (standart sürüm) ve genişletilmiş destek sürümlerini (ESR) etkilemektedir.
Kullanıcıların hemen yükseltmeleri önerilen aşağıdaki sürümlerde düzeltmeler sağlanmıştır:
- Firefox131.0.2
- Firefox ESR115.16.1
- Firefox ESR128.3.1
CVE-2024-9680’in aktif kullanım durumu ve insanların nasıl hedeflendiğine dair herhangi bir bilginin bulunmaması göz önüne alındığında, en son sürümlere yükseltme yapılması hayati önem taşıyor.
En son sürüme yükseltmek için Firefox’u başlatın ve şu adrese gidin: Ayarlar -> Yardım -> Firefox Hakkındave güncelleme otomatik olarak başlamalıdır. Değişikliklerin geçerli olması için programın yeniden başlatılması gerekecektir.
Kaynak: BleepingComputer
BleepingComputer, bu güvenlik açığı, nasıl yararlanıldığı ve kime karşı kullanıldığı hakkında daha fazla bilgi edinmek için hem Mozilla hem de ESET ile iletişime geçti. Daha fazla bilgi aldığımızda bu gönderiyi güncelleyeceğiz.
Mozilla, 2024 yılı boyunca şimdiye kadar Firefox’taki sıfır gün güvenlik açıklarını yalnızca bir kez düzeltmek zorunda kaldı.
22 Mart’ta internet şirketi, Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışması sırasında Manfred Paul tarafından keşfedilen ve gösterilen kritik önemdeki sorunlar olan CVE-2024-29943 ve CVE-2024-29944’ü ele alan güvenlik güncellemeleri yayınladı.