Mozilla Vakfı, geliştirdiği uygulamalarda güvenlik ve gizlilik konusunda en çok dikkat eden kurumlar arasında yer alıyor. Birçok kişi tarafından aktif olarak kullanılan Mozilla Firefox Android uygulaması yeni bir açık ile gündeme geldi.
Mozilla Firefox ile Google yeni bir ana sayfa düzenlemesi konusunda uzlaştı. Bu anlaşmanın bedeli oldukça yüksek. Google ne kadar ödeyecek?
Mozilla Firefox Android uygulaması yeni bir açık ile gündemde
UDP tabanlı bir protokol olan SSDP, Roku cihazlar ile veri alışverişi yapmak için ağdaki diğer cihazları bulma amacıyla geliştirilmiştir.
GitLab güvenlik araştırmacısı Chris Moberly, Android cihazlarda SSDP (Basit Hizmet Keşif Protokolü) üzerinden RCE (Uzaktan Komut Çalıştırma) zafiyeti keşfetti. Keşfedilen güvenlik açığı aynı ağa bağlı olan ve Mozilla Firefox uygulamasının eski sürümlerinden birine sahip olan tüm Android cihazları kapsıyor.
Daha sonra Eset güvenlik araştırmacısı Lukas Stefanko keşfedilen açık ile ilgili kullanıcıları uyarmak için video hazırladı. Konu ile ilgili hazırladığı PoC (Proof Of Concept) videosunu yayınlayan Stefanko, açığın aynı ağda bulunan cihazları etkilediğinin altını çizdi. Firefox 68.11.0 ve alt sürümleri etkileyen bu açık yeni yayınlanan güncelleme ile kapatıldı.
Yapılan açıklamalarda halka açık kablosuz ağların bu tarz saldırılar için en verimli ortamlar olduğunu ve güncelleme yapılmadığı takdirde saldırganların verilerinize dahi erişebileceğini belirten yetkililer, kullanılan uygulamaların sürekli güncellenmesi gerektiğini bir kez daha hatırlattı.
Exploitation of LAN vulnerability found in Firefox for Android
I tested this PoC exploit on 3 devices on same wifi, it worked pretty well.
I was able to open custom URL on every smartphone using vulnerable Firefox (68.11.0 and below) found by @init_string https://t.co/c7EbEaZ6Yx pic.twitter.com/lbQA4qPehq— Lukas Stefanko (@LukasStefanko) September 18, 2020
