Mozilla, Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 Firefox'u, Android 97.3.0 için Firefox'u ve Odak 97.3.0, aktif olarak ataklarda aktif olarak sömürülen iki kritik sıfır gün güvenlik açıkını çözdü.
Her iki sıfır gün güvenlik açıklaması, bir program daha önce temizlenmiş olan bellek kullanmaya çalıştığı zaman "kullandığı ücretsiz" hatalardır. Tehdit aktörleri bu tür bir böcekten yararlandığında, programın aynı zamanda, komutların cihazda izinsiz olarak yürütülmesine izin verecek şekilde çarpmasına neden olabilir.
Bu hatalar kritiktir, çünkü uzaktan bir saldırganın cihaza daha fazla erişim sağlamak için kötü amaçlı yazılımın indirilmesi de dahil olmak üzere hemen hemen her komutu yürütmesine izin verebilirler.
Mozilla tarafından belirlenen sıfır günlük güvenlik açıkları:
Mozilla'nın güvenlik danışmanlığı açıklarken, Firefox geliştiricileri bu güvenlik açıklarını aktif olarak kullanan "vahşi doğada saldırıların raporlarının" farkındadır.
Mozilla, tehdit aktörlerinin bu sıfır gün güvenlik açıklarını saldırılarda nasıl kullandıklarını paylaşmadığı durumlarda, Firefox kullanıcılarının kötü niyetli hazırlanmış web sayfalarına yönlendirilmesi muhtemeldi.
Bu güvenlik açıkları, Çin Siber Güvenlik Şirketi QIHOO 360 ATA tarafından Mozilla'ya keşfedildi ve açıklandı.
Bu hataların kritik yapısı nedeniyle, aktif olarak sömürülüyorlar, tüm Firefox kullanıcılarının tarayıcılarını derhal güncellemeleri şiddetle tavsiye edilir.
Ayrıca Mozilla Firefox'un en son sürümünü, Windows, MacOS ve Linux için aşağıdaki bağlantılardan indirebilirsiniz:
Kullanıcılar Firefox menüsüne> Yardım> Firefox hakkında giterek yeni güncellemeleri manuel olarak kontrol edebilir. Firefox daha sonra en son güncellemeyi otomatik olarak kontrol edecek ve yükleyecek ve tarayıcınızı yeniden başlatmanızı isteyin.
Mozilla, Chrome'u uyardı, Firefox '100' kullanıcı ajanları siteleri kırabilir
Google Chrome Acil Durum güncellemesi, ataklarda sömürülen sıfır günü düzeltti
Microsoft, aktif olarak sömürülen değişim sıfır gün böcekleri düzeltiyor, şimdi yama
Tüm log4j, logback hataları şimdiye kadar biliyoruz ve neden hendek yapmalısınız 2.15
Google neredeyse iki katlı Linux çekirdeği, Kubbernetes Sıfır Gün Ödülleri
Kaynak: Bleeping Computer