CISA, Firefox 114 ve Firefox ESR 102.12’deki güvenlik açıklarını vurgulayan Mozilla Ürünleri için güvenlik güncellemeleri hakkında bir uyarı yayınladı. Mozilla Firefox’ta bu güvenlik açıklarından yararlanmak, siber suçlulara yama uygulanmamış sunucu sistemleri üzerinde kontrol sağlayabilir.
6 Haziran 2023’te Firefox ESR 102.12 ve Firefox 114 için Mozilla’daki birden çok güvenlik açığını gideren güvenlik güncellemeleri yayınlandı. Bu güvenlik açıklarının etkisinin yüksek olduğu kabul edilir. CVE-2023-34414 olarak tanımlanan sabit güvenlik açıklarından biri, oluşturma gecikmesi yoluyla sertifika istisnalarının tıklatılmasını içerir.
Güncellemelerde Mozilla’daki bellek güvenlik açıkları da giderildi. Firefox ESR 102.12 ve Firefox 114’te, potansiyel olarak bellek bozulmasına ve rastgele kod yürütülmesine yol açabilecek birkaç hata düzeltildi.
Orta düzeyde etki olarak derecelendirilen başka bir güvenlik açığı olan CVE-2023-34415, verilere açık yönlendirmelere izin veren sitelerde site izolasyonunu atlamayı içerir: URL’ler.
Mozilla, Firefox’taki güvenlik açıklarını duyurdu
6 Haziran’da yayınlanan Mozilla Vakfı Güvenlik Önerileri, hem Firefox 114 hem de Firefox ESR 102.12 için düzeltmeleri ele aldı.
Mozilla Firefox 114’teki güvenlik açıkları
Mozilla Firefox 114’teki güvenlik açıkları şu şekildeydi:
- CVE-2023-34414 – Yüksek önem dereceli hata
- CVE-2023-34415 – Orta düzey önemde hata
- CVE-2023-34416 – Yüksek önem dereceli hata
- CVE-2023-34417 – Yüksek önem dereceli hata
Mozilla Firefox ESR 102.12’deki güvenlik açıkları şu şekildeydi:
- CVE-2023-34414 – Yüksek önem dereceli hata
- CVE-2023-34416 – Yüksek önem dereceli hata
CVE-2023-34414’e atıfta bulunan Mozilla Vakfı Güvenlik danışma belgesi, “Geçersiz TLS sertifikalarına sahip siteler için hata sayfasında, Firefox’un istemleri ve izin iletişim kutularını insan yanıt süresi gecikmelerinden yararlanan saldırılardan korumak için kullandığı etkinleştirme gecikmesi eksikti.”
Bu durumda, bir kullanıcı, sertifika hatası olan bir web sitesine ulaşmadan önce yanlışlıkla tam bir konumdaki kötü amaçlı bir sayfayı tıklayabilir. Bu tür senaryolarda, hata sayfası görüntüsü arasında bir boşluk oluşabilir.
Boşluk süresi içinde tıklayan bir kullanıcı, web sitesi için sertifika hatasının geçersiz kılınmasına yol açabilir.
CVE-2023-34415, Mozilla Firefox’taki bu güvenlik açığı, verilere açık yeniden yönlendirmelere izin veren sitelerdeki site yalıtımını atlamayla ilişkilendirildi.
Yönlendirmeden gelen URL, yönlendirmeyi yayınlayan siteyle aynı süreçte bir belge yükler. Bu, açık yönlendirmelere sahip sitelerde Spectre benzeri saldırıların önünü açtı.
Mozilla Firefox ürünlerindeki CVE-2023-34416, hem Firefox 113 hem de Firefox ESR 102.11’de düzeltildi. Bu hatanın kötüye kullanılması, yama uygulanmamış cihazlarda bellek bozulmasına neden oldu. Bilgisayar korsanlarının Mozilla Firefox ürünlerindeki açıklardan yararlanarak keyfi kodlar da çalıştırabilecekleri kaydedildi.
CVE-2023-34417, Firefox 114’te düzeltilen bellek güvenliği hatalarıydı. Araştırmacılar, bu hataların kullanılmasının bellek bozulmasına neden olduğunu ve rastgele kodların çalıştırılmasına izin verdiğini buldu.
Mozilla Firefox’taki güvenlik açıklarını ele alan CISA danışma belgesinde şu ifadeler yer almaktadır: “CISA, kullanıcıları ve yöneticileri daha fazla bilgi için Mozilla’nın Firefox 114 ve Firefox ESR 102.12 güvenlik önerilerini incelemeye ve gerekli güncellemeleri uygulamaya teşvik etmektedir.”
Cyber Express, hatalarla ilgili ayrıntılar için Mozilla’ya ulaştı. Bu haber raporunu yanıtlarına göre güncelleyeceğiz.
Mozilla Firefox’ta önceden yamalanmış güvenlik açıkları
Kaspersky, Mozilla Firefox’ta bilgisayar korsanlarının kullanıcı arabirimini taklit etmesine ve rastgele kodlar çalıştırmasına izin veren birkaç yüksek önem dereceli güvenlik açığı fark etti. Bilgisayar korsanları, bir DoS saldırısına neden olmak için Mozilla Firefox’un 112.0’dan önceki sürümlerindeki güvenlik açıklarından da yararlanabilir.
“Mozilla Firefox’ta birden çok güvenlik açığı bulundu. Kötü niyetli kullanıcılar, kullanıcı arabirimini taklit etmek, rasgele kod yürütmek, hizmet reddine neden olmak, hassas bilgiler elde etmek, güvenlik kısıtlamalarını aşmak için bu güvenlik açıklarından yararlanabilir.”
Mozilla’da belirtilen güvenlik açıkları arasında şunlar vardı:
- Güvenliği ihlal edilmiş sistemdeki hassas bilgilere erişim elde etmek için kullanılmış olabilecek veri yarışı güvenlik açığı.
- DoS saldırılarına yol açan sınır dışı güvenlik açığı.
- Çöp Toplama’da uzaktan bir DoS saldırısına neden olan veya rastgele kodlar çalıştıran bellek bozulması güvenlik açığı.
- Rastgele kod yürütmek için uzaktan kod yürütme güvenlik açığı.
- Bağlama işlevindeki güvenlik açığı, güvenlik önlemlerini atlamak için kullanılabilir.
- DoS saldırısına yol açan ve rastgele kodlar çalıştıran ücretsiz güvenlik açığından sonra kullanın.
- Rastgele kod yürütmek için güvenli bellek güvenlik açığı.
- DoS saldırısına neden olmak veya rastgele kod yürütmek için çift boş bellek adresi güvenlik açığı.
- Hassas bilgilere erişim elde etmek için bilgilerin açığa çıkması güvenlik açığı.
- Kimlik sahtekarlığına neden olan kullanıcı arabirimi güvenlik açığı.