Mozilla, saldırganların etkilenen sistemlerde uzaktan keyfi kod yürütmesine izin verebilecek birden fazla yüksek şiddetli güvenlik açıklığını ele almak için Firefox 142 yayınladı.
19 Ağustos 2025’te yayınlanan Güvenlik Danışmanlığı, sanal alandan kaçışlardan hafıza güvenliği hatalarına kadar dokuz farklı güvenlik açıkını ortaya koyuyor ve birçoğu uzaktan kod yürütmeyi (RCE) etkinleştirebilecek yüksek etkili tehditler olarak sınıflandırıyor.
Key Takeaways
1. Firefox 142 patches 9 vulnerabilities, enabling remote code execution and sandbox escapes.
2. Attackers can execute arbitrary code through memory corruption and security bypass exploits.
3. Immediate Firefox upgrade required to prevent remote attacks.
En kritik güvenlik açıkları, güvenlik araştırmacısı Oskar tarafından bildirilen ses/video GMP (GECKO Media eklentisi) bileşeninde bir sanal alan kaçış güvenlik açığı olan CVE-2025-9179’dur.
Bu kusur, şifreli medya içeriğinin işlenmesinden sorumlu ağır kum havuzlu GMP işlemindeki bellek yolsuzluğunu mümkün kılar ve potansiyel olarak saldırganların standart içerik süreci kısıtlamalarının ötesinde ayrıcalıkları artırmasına izin verir.
Mozilla RCE güvenlik açıkları
Güvenlik açığı manzarası, araştırmacı Tom Van Goethem tarafından keşfedilen grafik tuval2D bileşenini etkileyen aynı orijin politikası baypas olan CVE-2025-9180’i içeriyor.
Bu güvenlik kusuru, ormanlar arası kaynak erişimini önleyen temel web güvenlik modelini baltalar ve potansiyel olarak kötü amaçlı web sitelerinin hassas verilere diğer alanlardan erişmesini sağlar.
Üç ayrı bellek güvenliği güvenlik açığı önemli RCE riski oluşturmaktadır. CVE-2025-9187 Firefox 141 ve Thunderbird 141’i etkilerken, CVE-2025-9184 Firefox ESR 140.1, Thunderbird ESR 140.1, Firefox 141 ve Thunderbird 141’i etkiler.
En yaygın sorun olan CVE-2025-9185, Thunderbird meslektaşlarının yanı sıra Firefox ESR 115.26, 128.13 ve 140.1 dahil olmak üzere çoklu genişletilmiş destek sürümünü (ESR) sürümlerini etkiler.
Araştırmacılar Andy Leiserson, Maurice Dauer, Sebastian Hengst ve Mozilla Fuzzing ekibi de dahil olmak üzere Mozilla’nın güvenlik ekibi, keyfi kod uygulaması için sömürülebilirliğin açık kanıtlarını gösteren bu bellek bozulma hatalarını tespit etti.
Ek güvenlik açıkları arasında CVE-2025-9181, Irvan Kurniawan tarafından bildirilen JavaScript motor bileşeninde başlatılmamış bir bellek sorunu ve Webrender grafik bileşeninde adres çubuğu sahtekarlığı ve hizmet reddi koşullarını etkileyen birkaç düşük şiddetli sorun bulunmaktadır.
| CVE kimliği | Başlık | Şiddet |
| CVE-2025-9179 | Ses/Video GMP bileşeninde geçersiz işaretçi nedeniyle sanalbox kaçış | Yüksek |
| CVE-2025-9180 | Grafik Canvas2D bileşeninde aynı orijin ilkesi bypass | Yüksek |
| CVE-2025-9181 | JavaScript Motor Bileşeninde İntikamsız Bellek | Ilıman |
| CVE-2025-9182 | Grafik Webrender Bileşeninde Bellek Dışı Bulunan Hizmet İndirimi | Düşük |
| CVE-2025-9183 | Adres Çubuğu Bileşeninde Sahtekarlık Sorunu | Düşük |
| CVE-2025-9184 | Firefox ESR 140.2/Thunderbird ESR 140.2/Firefox 142/Thunderbird 142 | Yüksek |
| CVE-2025-9185 | Birden fazla ESR sürümünde bellek güvenlik hataları ve Firefox 142/Thunderbird 142 | Yüksek |
| CVE-2025-9186 | Android için Firefox Focus’un adres çubuğu bileşeninde sahtekarlık sorunu | Düşük |
| CVE-2025-9187 | Firefox 142 ve Thunderbird 142’de Bellek Güvenliği Hataları | Yüksek |
Hafifletme
Kuruluşlar ve bireysel kullanıcılar, bu kritik güvenlik risklerini azaltmak için Firefox 142’ye acil güncellemelere öncelik vermelidir.
Bellek güvenliği güvenlik açıkları, hem standart Firefox sürümlerini hem de kurumsal ortamlarda yaygın olarak konuşlandırılan ESR sürümlerini etkilediğinden, kurumsal ortamlarla ilgilidir.
Güvenlik uzmanları, potansiyel sömürü etkisini sınırlamak için ağ segmentasyonu, uç nokta algılama ve yanıt (EDR) çözümleri ve uygulama sanal alan teknolojileri gibi derinlemesine savunma stratejileri uygulamalıdır.
GMP Sandbox kaçış güvenlik açığı, halihazırda kum havuzu ortamlarında bile proses izolasyon mekanizmalarının önemini vurgulamaktadır.
Mozilla’nın koordineli açıklama zaman çizelgesi ve birden fazla ürün dalında kapsamlı yama kapsamı, etkili güvenlik açığı yönetimi uygulamaları göstermektedir.
Bununla birlikte, RCE potansiyeli ile bellek bozulması sorunlarının keşfedilmesi, modern tarayıcı mimarisinde, özellikle karmaşık medya işleme ve grafik oluşturma alt sistemlerinde, çeşitli web kaynaklarından güvenilmeyen içeriği ele alan devam eden güvenlik zorluklarını vurgulamaktadır.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →