Mozilla demonstrierte außergewöhnliche Reaktionsgeschwindigkeit bei der Behebung zweier kritischer Zero-Day-Schwachstellen im Firefox-Browser, die während des renommierten Pwn2Own Berlin Hacking-Wettbewerbs aufgedeckt wurden. Das Sicherheitsteam veröffentlichte innerhalb weniger Stunden nach der Demonstration entsprechende Sicherheitsupdates für sämtliche Firefox-Versionen.
Technische Analyse der entdeckten Schwachstellen
Die erste identifizierte Schwachstelle (CVE-2025-4918) betrifft den Promise-Objekthandling-Mechanismus in der JavaScript-Engine von Firefox. Der Fehler manifestiert sich in Form einer fehlerhaften Speicherverwaltung, die Buffer-Overflow-Angriffe ermöglicht. Das Forscherteam von Palo Alto Networks erhielt für diese Entdeckung eine Prämie von 50.000 Dollar.
Die zweite kritische Vulnerability (CVE-2025-4919), aufgedeckt durch Sicherheitsforscher Manfred Paul, ermöglicht durch fehlerhafte Array-Boundary-Validierung unerlaubte Lese- und Schreibzugriffe auf JavaScript-Objekte. Die erfolgreiche Demonstration dieser Schwachstelle, die Zugriff auf den Browser-Renderer gewährte, wurde ebenfalls mit 50.000 Dollar honoriert.
Effektivität der Firefox-Sicherheitsarchitektur
Besonders bemerkenswert ist, dass keine der demonstrierten Exploits die Browser-Sandbox durchbrechen konnte. Dies unterstreicht die Wirksamkeit der kürzlich implementierten Sicherheitsverbesserungen in der Firefox-Isolationsarchitektur, die einen robusten Schutz gegen verschiedene Angriffsszenarien bietet.
Kritische Sicherheitsupdates und Handlungsempfehlungen
Obwohl bisher keine Angriffe in freier Wildbahn dokumentiert wurden, erhöht die öffentliche Demonstration das Risiko einer zeitnahen Ausnutzung durch Cyberkriminelle. Betroffene Nutzer sollten umgehend auf folgende Versionen aktualisieren:
– Firefox 138.0.4
– Firefox ESR 128.10.1
– Firefox ESR 115.23.1
Die schnelle und effiziente Reaktion von Mozilla auf diese Sicherheitsbedrohungen demonstriert eindrucksvoll das hohe Sicherheitsbewusstsein des Unternehmens. Die rasche Entwicklung und Verteilung der Sicherheitspatches minimiert das Zeitfenster für potenzielle Angriffe erheblich. Nutzer sollten die automatische Update-Funktion aktiviert lassen und regelmäßig die Browser-Version überprüfen, um optimal geschützt zu bleiben.
