موزیلا با انتشار بهروزرسانیهای امنیتی، دو آسیبپذیری حیاتی در مرورگر فایرفاکس را که در جریان مسابقات امنیتی Pwn2Own برلین مورد سوءاستفاده قرار گرفته بودند برطرف کرد. این نقصها که به مهاجمان امکان دسترسی به دادههای حساس یا اجرای کد میدادند به عنوان آسیبپذیریهای روز صفر طبقهبندی شدهاند.
دو آسیبپذیری مذکور عبارتاند از:
- CVE-2025-4918: نقص در پردازش Promiseها که منجر به دسترسی خارج از محدوده حافظه و در نتیجه امکان خواندن یا نوشتن در جاوااسکریپت میشود.
- CVE-2025-4919: نقص مشابه هنگام بهینهسازی محاسبات خطی که باعث بروز رفتارهای پیشبینیناپذیر در مدیریت اندیسهای ساختار داده میشود.
موزیلا هشدار داده است بهرهبرداری موفق از این آسیبپذیریها میتواند به افشای اطلاعات حساس یا ایجاد شرایط لازم برای اجرای کدهای مخرب منتهی شود.
تمامی نسخههای فایرفاکس پیش از نسخه 138.0.4 (از جمله فایرفاکس اندروید) و نیز نسخههای ESR پیش از 128.10.1 و 115.23.1 بهعنوان نسخههای آسیبپذیر معرفی شدهاند.
این آسیبپذیریها توسط ادوارد بوچین و تائو یان از شرکت Palo Alto Networks (برای CVE-2025-4918) و «مانفرد پل» (برای CVE-2025-4919) شناسایی و گزارش شدهاند. هرکدام از این پژوهشگران در مسابقه Pwn2Own برای نمایش موفقیتآمیز این آسیبپذیریها جایزهای ۵۰ هزار دلاری دریافت کردند.
موزیلا در بیانیهای اعلام کرد هیچیک از حملات موفق به خروج از سندباکس فایرفاکس (که برای کنترل کامل بر سیستم کاربر ضروری است) نشدند. با این حال، توصیه میشود تمامی کاربران و مدیران سیستم هرچه سریعتر مرورگر خود را بهروزرسانی کنند.
مرورگرهای وب همچنان از جمله اهداف اصلی بدافزارها و حملات سایبری بهشمار میروند و بهروزرسانی به نسخههای جدید یکی از راهکارهای کلیدی برای محافظت از کاربران در برابر تهدیدات نوظهور است.
توضیحات بیشتر:
Firefox Patches 2 Zero-Days Exploited at Pwn2Own Berlin with $100K in Rewards