Mozilla, Firefox tarayıcısında keşfedilen iki kritik güvenlik açığı için acil güncelleme yayınladı. Şirket, bu açıklardan birine ait istismar kodunun (exploit code) kamuya açık olduğu konusunda uyardı. CVE-2026-15718 ve CVE-2026-15719 olarak izlenen güvenlik açıkları, sırasıyla JavaScript: WebAssembly bileşeninde geçersiz işaretçi (invalid pointer) ve DOM: Navigation bileşeninde site izolasyonu (site isolation) sorunlarından kaynaklanıyor. Mozilla, herhangi bir aktif saldırı tespit edilmediğini ancak kullanıcıların Firefox'u en kısa sürede 152.0.6 sürümüne güncellemeleri gerektiğini belirtti.
Google da Chrome tarayıcısı için 15 güvenlik açığını kapatan bir güncelleme yayınladı. Bunlardan ikisi kritik öneme sahip: CVE-2026-15764 ve CVE-2026-15765. Bu açıklar, Chrome'un Linux, ChromeOS ve Fuchsia gibi platformlarda yerel görüntü sunucuları ve pencere sistemleriyle etkileşimini sağlayan Ozone katmanında kullanım sonrası serbest bırakma (use-after-free) hatasından kaynaklanıyor. Saldırgan, özel hazırlanmış bir HTML sayfası aracılığıyla kullanıcıyı belirli UI hareketlerine yönlendirerek yığın bozulmasına (heap corruption) ve potansiyel olarak kod çalıştırmaya yol açabiliyor. Güncelleme, Windows ve Mac için Chrome 150.0.7871.124/.125, Linux için 150.0.7871.124 sürümüyle sunuldu.
Adobe, ColdFusion, Commerce, Experience Manager ve Illustrator'ı etkileyen 88 güvenlik açığı için yama yayınladı. Bunlardan sekizi Adobe ColdFusion'da kritik seviyede. En yüksek CVSS puanına sahip açık (9.9), CVE-2026-48318 ile izlenen ve keyfi kod çalıştırmaya yol açabilen bir yol geçiş (path traversal) zafiyeti. Diğer kritik açıklar arasında kod enjeksiyonu (CVE-2026-48322, CVSS 9.6), hatalı girdi doğrulama (CVE-2026-48284, CVSS 9.6), hatalı yetkilendirme (CVE-2026-48321, CVSS 9.3), eksik kimlik doğrulama (CVE-2026-48325, CVSS 9.3), yol geçiş (CVE-2026-48319, CVSS 9.1), SQL enjeksiyonu (CVE-2026-48324, CVSS 9.1) ve hatalı yetkilendirme (CVE-2026-48327, CVSS 9.0) yer alıyor. Adobe, ColdFusion 2025 ve 2023 için güncellemeler yayınladı.
Adobe ayrıca Commerce ve Magento Open Source ile Experience Manager'da da kritik açıkları kapattı. Commerce'de dosya yükleme (CVE-2026-48356, CVSS 9.6) ve hatalı çıktı kodlama (CVE-2026-48358, CVSS 9.1) zafiyetleri, Experience Manager'da ise sunucu taraflı istek sahteciliği (CVE-2026-48259, CVSS 9.6) ve XML dış varlık referansı kısıtlama (CVE-2026-48359, CVSS 9.6) zafiyetleri giderildi. Bu açıklar, yetkisiz kullanıcıların sistemde keyfi kod çalıştırmasına olanak tanıyabiliyor.
Broadcom, VMware Avi Load Balancer ürününde kritik bir kimlik doğrulama atlama (authentication bypass) açığı için güncelleme yayınladı. CVE-2026-47865 ile izlenen bu açık, CVSS 9.8 puanına sahip ve ağ erişimi olan kötü niyetli bir kullanıcının Avi Control düzlemine erişmesine izin veriyor. Güvenlik açığı, NATO Siber Güvenlik Merkezi'nden Filip Waeytens tarafından keşfedildi ve bildirildi. Henüz aktif olarak istismar edildiğine dair bir rapor bulunmamakla birlikte, ürünün hassasiyeti nedeniyle güncelleme kritik önem taşıyor.
Bu güvenlik açıklarının hiçbiri şu anda aktif olarak istismar edilmiyor olsa da, siber saldırganların bu tür zafiyetleri kısa sürede silah haline getirdiği biliniyor. Özellikle Firefox'taki istismar kodunun kamuya açık olması, saldırı riskini artırıyor. Kullanıcıların ve kuruluşların, sistemlerini korumak için en kısa sürede güncellemeleri uygulamaları hayati önem taşıyor. Güvenlik uzmanları, güncellemelerin ertelenmeden yapılmasını ve düzenli güvenlik taramalarının sürdürülmesini öneriyor.
Kaynak: thehackernews.com