Mozilla Vakfı popüler web tarayıcısı Firefox’un son sürümü Firefox 4.0 için ilk güvenlik güncellemesini yayınladı. Yayınlanan güncelleme ile siber saldırganların Windows Vista ve Windows 7 sürümlerinde yer alan bir anahtar güvenlik önlemini devre dışı bırakmasını sağlayan iki adet açık yamanıyor.
Mozilla’dan yapılan açıklamaya göre söz konusu açıklar yalnızca Firefox’un son sürümünde yer alan WebGLES grafik kütüphanesinde yer almakta. Bu açıklar Microsoft firmasının Windows Vista işletim sisteminde yer alan güvenlik önlemi ASLR’nin (adres alanı düzen randomizasyonu) devre dışı bırakılabilmesini sağlıyor. Vista’da yer alan ASLR önlemi hafıza bozma koduyla yapılan saldırılarda hafıza alanındaki verilerin çekilebilmesini engelliyordu.
Mozilla Vakfı’ndan yapılan açıklama söz konusu WebGLES kütüphanesinin Firefox 4’le birlikte gelen yeni bir özellik olduğu için daha eski sürümleri etkilemediği duyuruluyor. Mozilla’nın yamadığı açıklar ilk olarak adını Pwn2Own hacker yarışması ile duyuran Nils adlı bir beyaz şapkalı hacker tarafından keşfedilmiş. Söz konusu açık ile ilgili açıklama yapan bir Firefox tavsiye grubu şu ibarelere yer veriyor:
“Nils, Windows Vista’da yer alan ASLR korumasının Firefox WebGLES kütüphanesi ile derlendiğinde etkisiz kaldığını raporluyor. Bu noktada istismar edilebilir bir hafıza bozulması fark eden herhangi bir saldırgan, bu kütüphaneleri kullanarak hem Windows Vista hem de Windows 7’de yer alan ASLR korumasını bypass edebilir. Sonuç olarak bu açık doğru kullanıldığında güvenlik anlamında ilgili bilgisayarların Windows XP veya diğer platformları kullanan bilgisayarlardan bir farkı kalmamaktadır.”
Firefox’un yeni yayınlanan 4.0.1 sürümünde söz konusu açığın yanı sıra 4 adet daha açık yamanıyor. Bu açıklardan birisi XSLT generate-id() fonksiyon kümesinde diğeri ise çeşitli hafıza güvenlik düzeylerinde yer almakta. Mozilla Vakfı ayrıca Firefox’un 3 versiyonu için de çeşitli güvenlik güncellemelerini içeren 3.6.17 sürümünü yayınladı.

Kaynak : 