Mozilla, yakın zamanda Firefox web tarayıcısında Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışmasında istismar edilen iki sıfır gün güvenlik açığını gideriyor.
Pwn2Own Vancouver 2024 bilgisayar korsanlığı yarışması bu hafta düzenlendi ve Trend Micro'nun Sıfır Gün Girişimi (ZDI), katılımcıların 29 farklı sıfır gün sergilemeleri karşılığında 1.132.500 ABD doları aldığını açıkladı.
Yarışmanın galibi araştırmacı Manfred Paul (@_manfp), CVE-2024-29944 ve CVE-2024-29943 gibi iki kritik güvenlik açığından yararlandı.
Ücretsiz Web Semineri: Güvenlik Açığı ve 0 Günlük Tehditlerin Azaltılması
Güvenlik ekiplerinin 100'lerce güvenlik açığını önceliklendirmesi gerekmediğinden, hiç kimseye yardımcı olmayan Uyarı Yorgunluğu. :
- Günümüzün kırılganlık yorgunluğu sorunu
- CVSS'ye özgü güvenlik açığı ile risk tabanlı güvenlik açığı arasındaki fark
- Güvenlik açıklarının iş etkisine/riskine göre değerlendirilmesi
- Uyarı yorgunluğunu azaltmak ve güvenlik duruşunu önemli ölçüde geliştirmek için otomasyon
Riski doğru bir şekilde ölçmenize yardımcı olan AcuRisQ:
Yerinizi ayırtın
Manfred Paul (@_manfp), Mozilla Firefox korumalı alan kaçışını RCE için bir OOB Yazma (CVE-2024-29943) ve açığa çıkan tehlikeli bir işlev hatasını (CVE-2024-29944) kullanarak gerçekleştirdi.
10 Master of Pwn puanına ek olarak 100.000 $ daha kazanarak 25 puanla liderliğin önüne geçiyor.
Sonunda Manfred Paul'a Pwn Ustası unvanı verildi. Toplamda 202.500 dolar ve 25 puan kazandı.
Yamalı Güvenlik Kusurlarının Detayları
CVE-2024-29943: Menzil Analizi atlaması aracılığıyla Sınır Dışı Erişim
Mozilla'ya göre bir saldırgan, aralık tabanlı sınır kontrolü ortadan kaldırma işlemini aldatabilir ve bir JavaScript nesnesi üzerinde sınırların dışında okuma veya yazma işlemi gerçekleştirebilir.
Firefox < 124.0.1 bu saldırıya karşı savunmasızdır.
Mozilla, tavsiye belgesinde “Bir saldırgan, aralık tabanlı sınır kontrolü ortadan kaldırmayı kandırarak bir JavaScript nesnesi üzerinde sınır dışı okuma veya yazma işlemi gerçekleştirebildi” dedi.
CVE-2024-29944: Olay İşleyicileri aracılığıyla Ayrıcalıklı JavaScript Yürütme
Bir saldırgan, ana süreçte rastgele JavaScript yürütmeyi etkinleştirmek için ayrıcalıklı bir nesneye bir olay işleyicisi enjekte edebildi.
Bu güvenlik açığı yalnızca Firefox'un masaüstü sürümlerini etkiler; mobil sürümler etkilenmez.
Mozilla, “Bir saldırgan, ayrıcalıklı bir nesneye, ana süreçte rastgele JavaScript yürütülmesine izin verecek bir olay işleyicisi enjekte edebildi” dedi.
Yama Yayınlandı
Mozilla, her iki güvenlik sorununu da çözmek için Firefox 124.0.1 ve Firefox ESR 115.9.1'i yayınladı.
Bu kusurlar, sıkı güvenlik prosedürlerine uymanın ve yazılım güncellemelerini hazır olur olmaz uygulamanın ne kadar önemli olduğunu vurgulamaktadır.
Kullanıcılar, Firefox 124.0.1'e güncelleme yaparak bu kritik güvenlik açıklarına ve ilgili risklere karşı güvende olduklarından emin olabilirler.
Siber Güvenlik haberleri, Teknik İncelemeler ve İnfografiklerden haberdar olun. Bizi LinkedIn'de takip edin & heyecan.