Mozilla, uzak saldırganların etkilenen sistemlerde keyfi kod yürütmesini sağlayabilecek birden fazla kritik güvenlik güvenlik açığını ele almak için Firefox 142 yayınladı.
19 Ağustos 2025’te açıklanan Mozilla Vakfı Güvenlik Danışmanlığı 2025-64, yüksek şiddetli uzaktan kumanda yürütme kusurlarından sahtekarlık ve hizmet reddi sorunlarına kadar dokuz farklı güvenlik açıkını detaylandırıyor.
Kritik Uzaktan Kod Yürütme Güvenlikleri
En ilgili güvenlik açıkları, potansiyel olarak uzaktan kod yürütmesine izin verebilecek bellek güvenlik hatalarını içerir.
| CVE kimliği | Darbe | Tanım |
| CVE-2025-9179 | Yüksek | Geçersiz işaretçi nedeniyle sandbox kaçış |
| CVE-2025-9180 | Yüksek | Aynı Origin Politikası Baypas |
| CVE-2025-9181 | Ilıman | İnitilmez Hafıza |
| CVE-2025-9182 | Düşük | Konu dışı hizmetin reddedilmesi |
| CVE-2025-9183 | Düşük | Sahtekarlık sorunu |
| CVE-2025-9186 | Düşük | Sahtekarlık sorunu |
| CVE-2025-9187 | Yüksek | Hafıza Yolsuzluk Hataları |
| CVE-2025-9184 | Yüksek | Hafıza Yolsuzluk Hataları (ESR sürümleri) |
| CVE-2025-9185 | Yüksek | Hafıza Yolsuzluk Hataları (Birden Çok ESR sürümleri) |
Üç ayrı bellek güvenliği CVE, Firefox ve Thunderbird versiyonlarının farklı kombinasyonlarını etkiler, araştırmacılar yetenekli saldırganlar tarafından sömürülebilecek bellek bozulması kanıtı gösterirler.
CVE-2025-9187, özellikle Firefox 142 ve Thunderbird 142’de sabitlenen bellek güvenlik hatalarını ele alırken, CVE-2025-9184, Firefox ESR 140.2 ve Thunderbird ESR 140.2 dahil daha geniş bir aralığı etkiler.
En kapsamlı güvenlik açığı olan CVE-2025-9185, bu bellek yolsuzluk sorunlarının yaygın doğasını vurgulayarak Firefox ESR 115.26’ya dayanan çoklu genişletilmiş destek sürüm versiyonlarını etkiler.
Yüksek şiddetli bireysel kusurlar arasında, CVE-2025-9179, ses/video GMP bileşeninde özellikle tehlikeli bir sanal alan kaçış kırılganlığı sunar.
Araştırmacı Oskar tarafından bildirilen bu kusur, saldırganların, şifreli ortamı işleyen, potansiyel olarak ayrıcalıkları tipik içerik süreci kısıtlamalarının ötesinde artan yoğunlaştıran ağır kum havuzlu GMP sürecinde bellek bozulması gerçekleştirmesine izin veriyor.
Buna ek olarak, Tom Van Goethem tarafından keşfedilen CVE-2025-9180, grafik Canvas2D bileşeninde aynı orijin politikası bypass’ı sağlar ve potansiyel olarak kötü amaçlı web sitelerinin uygun yetkilendirme olmadan diğer alanlardan kaynaklara erişmesine izin verir.
Kuruluşlar ve bireysel kullanıcılar, bu güvenlik açıklarına karşı korumak için derhal Firefox 142’ye güncellemelidir.
Sandbox kaçış yeteneklerinin ve bellek yolsuzluk kusurlarının birleşimi, kötü amaçlı web siteleri veya tehlikeye atılmış içerik aracılığıyla kullanılabilecek önemli bir saldırı yüzeyi oluşturur ve bu güvenlik güncellemesinin hızlı bir şekilde dağıtılmasını tarayıcı güvenliğini korumak için kritik hale getirir.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!