Firefox için tehlikeli bir sıfır gün açığı kapatıldı

11 Ekim 2024 09:38

Dünyanın en çok kullanılan internet tarayıcıları arasında yer alan Mozilla imzalı Firefox, önemli bir güncelleme ile gündemde.

Firefox tarayıcı için aktif olarak kullanılan tehlikeli bir sıfır gün açığının (CVE-2024-9680) kapatıldığı duyuruldu. Bunun için tarayıcının vakit geçirmeden “131.0.2” sürümüne güncellenmesi gerekiyor. Güvenlik açığının CSS animasyonlarıyla bağlantılı olduğu ve bir hacker’ın bu açığı kullanarak sistemlere kötü amaçlı kod enjekte ederek çalıştırabileceği söyleniyor. Büyük risk oluşturan açığın ayrıca Firefox ESR 115.16.1, Firefox ESR 128.3.1 ve Tor Browser 13.5.7 sürümleriyle de ortadan kaldırıldığı açıklanıyor. Firefox bundan önce çok sürpriz bir gelişmeyle gündeme gelmişti. Mozilla yayınladığı Firefox 128 sürümüyle beraber “Privacy-Preserving Attribution” adını verdiği yeni bir sistemi devreye aldı. Viyana merkezli NOYB (None Of Your Business) bu yeni özelliği beğenmedi ve kullanıcı hareketleri izinsiz olarak izleniyor iddiasıyla Mozilla’ya karşı Avusturya veri koruma otoritesine şikayette bulundu. Varsayılan olarak açık gelen Privacy-Preserving Attribution özelliği hakkında Kaspersky’nin burada yer alan çok detaylı bir yazısı bulunuyor.

Bu yazıda özelliğin genel çalışma mantığı şu şekilde açıklanıyor:Web sitesi, tarayıcıdan başarılı reklam görüntüleme örneklerini hatırlamasını ister. Kullanıcı sitenin yararlı olduğunu düşündüğü bir eylem gerçekleştirirse (örneğin, bir ürün satın alırsa), site kullanıcının reklamı görüp görmediğini öğrenmek için tarayıcıyı sorgular. Tarayıcı siteye hiçbir şey söylemez, ancak bilgileri DAP protokolü aracılığıyla toplama sunucularına gönderir.

Tüm bu raporlar toplayıcılarda biriktirilir ve site periyodik olarak bir özet alır. Sonuç olarak site, belirli bir reklamı gören X sayıda kullanıcıdan Y sayıda kullanıcının site için yararlı olduğu düşünülen eylemleri gerçekleştirdiğini öğrenir. Ancak ne site ne de toplama sistemi bu kullanıcıların kim olduğu, internette başka neler yaptıkları vb. hakkında hiçbir şey bilmez.” 

Mozilla’nın kendi açıklamasında, “Sitelerin, kişiler hakkında tek tek veri toplamadan reklamlarının nasıl performans gösterdiğini anlamalarına yardımcı olması için tasarlandı.” dediği sistem, kağıt üzerinde faydalı görünüyor olmasına rağmen NOYB’a göre AB’nin gizlilik yasaları kapsamındaki kullanıcı haklarına hala müdahale ediyor.

Bu özelliğin ayarlardan kapatılabiliyor olmasına rağmen varsayılan olarak açık olmasını iyi karşılamayan NOYB, Mozilla’nın veri işleme faaliyetleri hakkında kullanıcıları daha net olarak bilgilendirmesini, özelliğin varsayılan olarak açık gelmemesini ve milyonlarca kullanıcının hukuka aykırı olarak işlenmiş tüm verilerini silmesini istiyor.

Mozilla ve Firefox haberleri yanında bu da ilginizi çekebilir: İddialı AR gözlük Xiaomi Wireless AR Glass Discovery Edition tanıtıldı

Paylaş