Mozilla, saldırganların tarayıcı kum havuzlarından kaçmasına ve etkilenen sistemlerin kontrolünü kazanmasına izin verebilecek kritik bir güvenlik açığını ele almak için Windows sistemlerindeki Firefox tarayıcısı için bir acil durum güvenlik güncellemesi yayınladı.
Yama, Google’ın vahşi doğada aktif olarak sömürülen Chrome’da benzer bir sıfır günlük güvenlik açığını yamaladıktan kısa bir süre sonra geliyor.
Mozilla Vakfı Güvenlik Danışmanlığına göre, kusur Firefox’un IPC (süreçler arası iletişim) kodunda, Windows sistemlerinde kum havuzu kaçışlarına yol açabilecek “yanlış bir sap” içeriyor.
Mozilla araştırmacısı Andrew McCreight, Firefox geliştiricileri yakın zamanda sömürülen Chrome güvenlik açığına benzer bir model belirledikten sonra güvenlik açığını keşfetti.
Danışma, “Son Chrome Sandbox Escape (CVE-2025-2783) ‘in ardından, çeşitli Firefox geliştiricileri IPC kodumuzda benzer bir model belirledi” diyor.
“Uzaklaşan bir çocuk süreci, ebeveyn sürecinin kasıtsız olarak güçlü bir tutamağı döndürmesine neden olabilir ve bir sanal alan kaçışına yol açabilir”.
Güvenlik açığı özellikle Windows işletim sistemlerinde çalışan Firefox’u etkiler. Linux, macOS ve diğer işletim sistemleri bu özel sömürüye karşı savunmasız değildir.
Tarayıcı sanal alanları, potansiyel olarak kötü amaçlı kod içerecek şekilde tasarlanmış ve hassas sistem kaynaklarına erişmesini önlemek için tasarlanmış güvenlik mekanizmalarıdır.
Sandbox kaçış güvenlik açığı, kötü niyetli kodun bu kısıtlamalardan kurtulmasına izin vererek, potansiyel olarak saldırganlara temel işletim sistemine erişimi sağlar.
Güvenlik açığı, Firefox’un tarayıcının farklı işlem bileşenleri arasındaki iletişimi yöneten IPC mekanizmasını içerir.
Kusur, tehlikeye atılan bir çocuk sürecinin, ana süreci yüksek ayrıcalıklarla bir tutamağı döndürmeye ve sanal alan korumasını etkili bir şekilde atlamasına izin verebilir.
Güvenlik açığının özeti aşağıda verilmiştir:
| Risk faktörleri | Detaylar |
| Etkilenen ürünler | – 136.0.4’ten önceki Firefox sürümleri- Firefox ESR sürümleri 128.8.1- Firefox ESR sürümleri 115.21.1’den önce (Yalnızca Windows sürümleri) |
| Darbe | Potansiyel sistem uzlaşması |
| Önkoşuldan istismar | – Windows İşletim Sistemi- Firefox-Saldırgan’ın bir çocuk sürecini tehlikeye atma yeteneğinin takılmamış versiyonu |
| CVSS 3.1 puanı | Yüksek |
Etkilenen sürümler ve yama kullanılabilirliği
Mozilla, aşağıdaki tarayıcı sürümlerinde güvenlik açığı için düzeltmeler yayınladı:
- Firefox 136.0.4
- Firefox ESR (Genişletilmiş Destek Sürümü) 128.8.1
- Firefox ESR 115.21.1
Güvenlik açığı, potansiyel etkisi ve saldırganların kromdaki benzer bir kırılganlıktan aktif olarak yararlanmaları nedeniyle “kritik” olarak sınıflandırılmıştır.
Mozilla, Firefox güvenlik açığının vahşi doğada kullanılıp kullanılmadığını doğrulamamış olsa da, danışmanlık muhtemelen Chrome Zero-Day’e atıfta bulunarak “orijinal güvenlik açığının vahşi doğada sömürüldüğünü” belirtiyor.
Firefox’u çalıştıran Windows kullanıcıları, tarayıcılarını derhal yamalı sürümlere güncellemelidir.
Otomatik güncellemeler genellikle varsayılan olarak etkinleştirilir, ancak kullanıcılar menü düğmesini tıklayarak, “Yardım” ı ve ardından “Firefox Hakkında” seçerek güncellemeleri manuel olarak kontrol edebilir. Tarayıcı, mevcut güncellemeleri otomatik olarak kontrol eder ve yükler.
Bu olay vurgular Tarayıcı satıcılarının devam eden güvenlik zorlukları ve özellikle farklı tarayıcılarda benzer kusurlar olduğunda, sıfır gün güvenlik açıklarına hızlı tepkinin önemi.
Bu güvenlik açığının hızlı bir şekilde tanımlanması ve yaması, siber güvenlik topluluğundaki tarayıcı çapraz güvenlik araştırmasının ve işbirliğinin değerini göstermektedir.
Investigate Real-World Malicious Links & Phishing Attacks With Threat Intelligence Lookup - Try for Free