Mozilla Firefox 97.0.2, Aktif Olarak Yararlanılan İki Sıfır Gün Hatasını Düzeltti
Mozilla, saldırılarda aktif olarak kullanılan iki kritik sıfırıncı gün güvenlik açığını düzeltmek için Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 için Firefox ve Focus 97.3.0'ı yayınladı.
Her iki sıfır gün güvenlik açığı da, bir programın önceden temizlenmiş belleği kullanmaya çalıştığı "Ücretsiz kullanım sonrası" hatalardır. Tehdit aktörleri bu tür bir hatadan yararlandığında, programın çökmesine neden olurken aynı zamanda komutların izinsiz olarak cihazda yürütülmesine izin verebilir.
Bu hatalar kritiktir, çünkü uzaktaki bir saldırganın, cihaza daha fazla erişim sağlamak için kötü amaçlı yazılımların indirilmesi de dahil olmak üzere hemen hemen her komutu yürütmesine izin verebilirler.
Mozilla tarafından düzeltilen sıfır gün güvenlik açıkları şunlardır:
- CVE-2022-26485: XSLT parametre işlemede ücretsiz kullanım - İşlem sırasında bir XSLT parametresinin kaldırılması, sömürülebilir bir ücretsiz kullanım sonrası kullanıma yol açabilirdi. Bu kusuru kötüye kullanan vahşi saldırılarla ilgili raporlar aldık.
- CVE-2022-26486: WebGPU IPC Çerçevesinde ücretsiz kullanım sonrası - WebGPU IPC çerçevesindeki beklenmeyen bir mesaj, ücretsiz kullanım sonrası ve kötüye kullanılabilir korumalı alan kaçışına yol açabilir. Bu kusuru kötüye kullanan vahşi saldırılarla ilgili raporlar aldık.
Mozilla'nın güvenlik danışma belgesinin açıkladığı gibi, Firefox geliştiricileri, bu güvenlik açıklarından aktif olarak yararlanan "vahşi doğadaki saldırı raporlarının" farkındadır.
Mozilla, tehdit aktörlerinin saldırılarda bu sıfır gün güvenlik açıklarını nasıl kullandığını paylaşmasa da, muhtemelen Firefox kullanıcılarını kötü niyetli olarak hazırlanmış web sayfalarına yönlendirerek yapılmıştı.
Bu güvenlik açıkları Çinli siber güvenlik şirketi Qihoo 360 ATA tarafından keşfedildi ve Mozilla'ya açıklandı.
Bu hataların kritik doğası ve aktif olarak istismar edilmeleri nedeniyle, tüm Firefox kullanıcılarının tarayıcılarını hemen güncellemeleri şiddetle tavsiye edilir.
Windows, macOS ve Linux için Mozilla Firefox'un en son sürümünü aşağıdaki bağlantılardan da indirebilirsiniz:
- Windows 64-bit için Firefox 97.0.2
- Windows 32 bit için Firefox 97.0.2
- macOS için Firefox 97.0.2
- Linux 64-bit için Firefox 97.0.2
- Linux 32-bit için Firefox 97.0.2
Kullanıcılar, Firefox menüsü > Yardım > Firefox Hakkında seçeneğine giderek yeni güncellemeleri manuel olarak kontrol edebilir. Firefox daha sonra otomatik olarak en son güncellemeyi kontrol edecek ve yükleyecek ve tarayıcınızı yeniden başlatmanızı isteyecektir.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
