Firefox’u tarayıcılarından biri olarak kullanan kişiler, istismar edilen iki kritik kusur için düzeltmeler aldığına göre şimdi güncellemelidir.
Mozilla, güvenlik düzeltmeleriyle Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 için Firefox ve Focus 97.3.0’ı piyasaya sürdü. Hatalar Thunderbird 91.6.2’de de düzeltildi. Hem CVE-2022-26485 hem de CVE-2022-26486, kullanım sonrası boş bellekle ilgili kritik kusurlardır. CVE-2022-26486 ayrıca sömürülebilir bir sanal alan kaçışına da yol açabilir, Mozilla’ya göre.
Mozilla, “İşleme sırasında bir XSLT parametresinin kaldırılması, sömürülebilir bir kullanım sonrası ücretsiz kullanıma yol açabilirdi. Bu kusuru kötüye kullanan vahşi saldırılarla ilgili raporlar aldık” diye açıklıyor. “WebGPU IPC çerçevesindeki beklenmedik bir mesaj, kullanım sonrası ücretsiz ve sömürülebilir bir sanal alan kaçışına yol açabilirdi. Bu kusuru kötüye kullanan orman yangını saldırılarının raporlarını aldık.”
Google Project Zero’nun analizinde Mozilla iyi bir öğrenci
WebGPU, bir web sayfasının gelişmiş grafikler için bir sistemin GPU’sunu kullanmasına izin veren çeşitli arabirimler için bir tarayıcı özelliğidir.
Mozilla ek ayrıntılar yayınlamadı, ancak hata raporlarını Çinli güvenlik firması Qihoo 360 ATA Wang Gang, Liu Jialei, Du Sihang, Huang Yi ve Yang Kang’daki araştırmacılara atfediyor.
Firefox kullanıcı sayıları düşük olsa da, Mozilla, yazılım satıcılarının hataları ne kadar hızlı düzelttiğine ilişkin Google’ın Project Zero analizinde oldukça başarılı oldu. Mozilla, yazılımını etkileyen on hatadan dokuzunu ilk rapordan sonraki 90 gün içinde düzeltti. Ayrıca Google’ın 44 günü, Apple’ın 69 günü ve Microsoft’un 83 günü ile karşılaştırıldığında, hataları düzeltmesi ortalama 46 gün sürdü.
Tarayıcılar söz konusu olduğunda, Chrome en hızlısıdır ve 40 hata giderildiğinde ortalama düzeltme süresi 5,3 gündür. WebKit’te 27 hata ve ortalama 11.6 günlük düzeltme süresi bulunurken, Firefox’ta sekiz hata ve ortalama 16.6 günlük düzeltme süresi bulunur.
Kaynak: “ZDNet.com”