Mozilla Vakfı programcıları Firefox web tarayıcısında iki, Firefox ESR'de ise bir güvenlik açığı kapattı. Bu tarayıcıların kullanıcılarının güncellemeyi hızlı bir şekilde uygulaması gerekmektedir.
Duyuru
Firefox 124.0.1 güvenlik tavsiyesi, yeni sürümün kapattığı iki kritik güvenlik açığını listeliyor. Saldırganlar, bir Javascript nesnesini amaçlanan bellek sınırlarının dışında okuyabilir veya yazabilir. Bunun, sözde “aralık bazlı limit kontrolü eleme” mekanizmasının bir aldatmacası olduğu iddia ediliyor (CVE-2024-29943, CVSS yok, Mozilla'ya göre risk “eleştirmen“) başarılı oldu. Bu aslında hafıza sınırlarına uyulup uyulmadığı sorusudur.
Firefox: İki Kritik Güvenlik Açıkları
İkinci kritik güvenlik açığı da Javascript'i etkiliyor. Saldırganlar, ayrıcalıklı bir nesneye bir olay işleyicisi enjekte edip ardından ana süreçte yükseltilmiş ayrıcalıklarla rastgele Javascript kodu çalıştırabildiler (CVE-2024-29944, CVSS yok, eleştirmen). Bu kusur yalnızca web tarayıcılarının masaüstü sürümlerini etkiler ancak Firefox 124.0 ve önceki sürümlerine ek olarak Firefox ESR 115.9 ve önceki sürümlerini de etkiler. Güvenlik önerileri saldırıların gerçekte nasıl görüneceğini açıklamasa da, bu güvenlik açıklarından yararlanmak için genellikle dikkatle hazırlanmış web sitelerini görüntülemek yeterlidir.
Firefox 124.0.1 sürüm notlarında değişiklik olarak yalnızca güvenlik düzeltmeleri bulunabilir. Mozilla tarayıcı kullanıcıları güncellemeleri hızlı bir şekilde uygulamalıdır. Bunu yapmanın en kolay yolu, adres çubuğunun sağındaki üç yatay çizgiden oluşan simgeye tıklayarak açılan ve “Yardım” – “Firefox Hakkında” ile devam eden sürüm iletişim kutusunu kullanmaktır.
Firefox sürümü iletişim kutusu, çalıştırmakta olduğunuz yazılımın sürümünü gösterir, gerekirse güncellemeye başlar ve son olarak tarayıcıyı yeniden başlatmanızı ister.
(Resim: ekran görüntüsü / dmk)
Thunderbird henüz bir güncelleme almadığından, Thunderbird'ün temel aldığı Firefox ESR kod tabanındaki güvenlik açığından yararlanılamayacağı anlaşılıyor: Javascript, e-postalarda varsayılan olarak çalışmaz. Mozilla Vakfı, beklendiği gibi Firefox 124.0, Firefox ESR 115.9 ve Thunderbird 115.9 güncellemelerini ancak Salı günü yayınladı. Geliştiriciler ayrıca birçok güvenlik açığını da kapattı ancak bunlar maksimum “yüksek” risk derecesine ulaştı.
(Bilmiyorum)
Haberin Sonu
Duyuru
Firefox 124.0.1 güvenlik tavsiyesi, yeni sürümün kapattığı iki kritik güvenlik açığını listeliyor. Saldırganlar, bir Javascript nesnesini amaçlanan bellek sınırlarının dışında okuyabilir veya yazabilir. Bunun, sözde “aralık bazlı limit kontrolü eleme” mekanizmasının bir aldatmacası olduğu iddia ediliyor (CVE-2024-29943, CVSS yok, Mozilla'ya göre risk “eleştirmen“) başarılı oldu. Bu aslında hafıza sınırlarına uyulup uyulmadığı sorusudur.
Firefox: İki Kritik Güvenlik Açıkları
İkinci kritik güvenlik açığı da Javascript'i etkiliyor. Saldırganlar, ayrıcalıklı bir nesneye bir olay işleyicisi enjekte edip ardından ana süreçte yükseltilmiş ayrıcalıklarla rastgele Javascript kodu çalıştırabildiler (CVE-2024-29944, CVSS yok, eleştirmen). Bu kusur yalnızca web tarayıcılarının masaüstü sürümlerini etkiler ancak Firefox 124.0 ve önceki sürümlerine ek olarak Firefox ESR 115.9 ve önceki sürümlerini de etkiler. Güvenlik önerileri saldırıların gerçekte nasıl görüneceğini açıklamasa da, bu güvenlik açıklarından yararlanmak için genellikle dikkatle hazırlanmış web sitelerini görüntülemek yeterlidir.
Firefox 124.0.1 sürüm notlarında değişiklik olarak yalnızca güvenlik düzeltmeleri bulunabilir. Mozilla tarayıcı kullanıcıları güncellemeleri hızlı bir şekilde uygulamalıdır. Bunu yapmanın en kolay yolu, adres çubuğunun sağındaki üç yatay çizgiden oluşan simgeye tıklayarak açılan ve “Yardım” – “Firefox Hakkında” ile devam eden sürüm iletişim kutusunu kullanmaktır.
Firefox sürümü iletişim kutusu, çalıştırmakta olduğunuz yazılımın sürümünü gösterir, gerekirse güncellemeye başlar ve son olarak tarayıcıyı yeniden başlatmanızı ister.
(Resim: ekran görüntüsü / dmk)
Thunderbird henüz bir güncelleme almadığından, Thunderbird'ün temel aldığı Firefox ESR kod tabanındaki güvenlik açığından yararlanılamayacağı anlaşılıyor: Javascript, e-postalarda varsayılan olarak çalışmaz. Mozilla Vakfı, beklendiği gibi Firefox 124.0, Firefox ESR 115.9 ve Thunderbird 115.9 güncellemelerini ancak Salı günü yayınladı. Geliştiriciler ayrıca birçok güvenlik açığını da kapattı ancak bunlar maksimum “yüksek” risk derecesine ulaştı.
(Bilmiyorum)
Haberin Sonu