Mozilla, 20 Mayıs 2022’de Firefox ve Firefox ESR web tarayıcıları için güncellemeleri yayınladı. Thunderbird geliştirme ekibi, e-posta istemcisi için de bir yama yayınladı. Güvenlik güncellemeleri, Firefox web tarayıcısı ve Thunderbird’deki iki kritik güvenlik sorununu giderdi.
Güncellemeleri alan uygulamaların listesi:
- Firefox 100.0.2
- Firefox ESR 91.9.1
- Firefox Android 100.3
- Thunderbird 91.9.1
Güncellemeler zaten mevcuttur ve çoğu kullanıcı kurulumu otomatik olarak güncellenecektir. Bunun olmasını beklemek istemeyen masaüstü kullanıcıları, kurulumu hızlandırmak için güncellemeleri manuel olarak kontrol edebilir.
- Firefox: Menü > Yardım > Firefox Hakkında’yı seçin. Firefox, güncellemeleri manuel olarak kontrol eder. Bulunan herhangi bir güncelleme indirilecek ve yüklenecektir.
- Thunderbird: Yardım > Thunderbird Hakkında’yı seçin. Thunderbird ayrıca güncellemeleri kontrol edecek ve bulduklarını yükleyecektir.
Not: Android için Firefox, Google Play aracılığıyla güncellenir. Google Play aracılığıyla Android’de güncellemelerin teslimini hızlandırma seçeneği yoktur.
Resmi sürüm notları, güncellemenin güvenlik yapısını onaylayan tek bir girişi listeler. Mozilla, web tarayıcısının etkilenen tüm sürümleri için sorunlarla ilgili ek ayrıntılar sağlayan bir güvenlik önerisi yayınladı:
Güncellemede iki güvenlik sorununun düzeltildiğini Her iki sorun da kritik önem derecesine, sahiptir. Trend Micro’nun Zero Day Initiative programı aracılığıyla Manfred Paul tarafından Mozilla’ya bildirildiler.
Bir saldırgan, JavaScript’teki bir Array nesnesinin yöntemlerini prototip kirliliği yoluyla bozabilseydi, saldırgan tarafından kontrol edilen JavaScript kodunun ayrıcalıklı bir bağlamda yürütülmesini sağlayabilirdi.
CVE-2022-1529: JavaScript nesne indekslemede kullanılan güvenilmeyen girdi, prototip kirliliğine yol açıyor
Saldırgan, içeriğin bir JavaScript nesnesine çift indekslemek için kullanıldığı, prototip kirliliğine ve nihayetinde ayrıcalıklı üst süreçte saldırgan tarafından kontrol edilen JavaScript’in yürütülmesine yol açan üst sürece bir mesaj göndermiş olabilir.
Bağlantılı hata raporları kısıtlanmıştır. Mozilla, bu güvenlik açıklarını hedef alan saldırılardan bahsetmiyor.
Firefox ve Thunderbird kullanıcıları, bu sorunları hedefleyen saldırılardan korunmak için uygulamalarını hızlı bir şekilde güncellemeleri tavsiye edilir.
