Mozilla оперативно отреагировала на обнаружение двух критических уязвимостей нулевого дня в браузере Firefox, продемонстрированных на престижном хакерском соревновании Pwn2Own Berlin. Разработчики выпустили экстренные обновления безопасности для всех версий браузера буквально через несколько часов после завершения мероприятия.
Подробности обнаруженных уязвимостей
Первая уязвимость (CVE-2025-4918) связана с механизмом обработки объектов Promise в JavaScript-движке Firefox. Проблема заключается в некорректном управлении памятью при чтении и записи данных за пределами выделенного буфера. Эту уязвимость обнаружила команда исследователей Palo Alto Networks, за что получила вознаграждение в размере 50 000 долларов.
Вторая критическая уязвимость (CVE-2025-4919) позволяет осуществлять несанкционированные операции чтения и записи в JavaScript-объектах из-за ошибок в определении границ массивов. Исследователь Мэнфред Пол успешно продемонстрировал эксплуатацию этого бага, получив доступ к рендереру браузера, что также принесло ему награду в 50 000 долларов.
Эффективность защитных механизмов Firefox
Несмотря на серьезность обнаруженных уязвимостей, специалисты Mozilla отмечают важное достижение: ни одному из исследователей не удалось преодолеть песочницу браузера. Это свидетельствует об эффективности недавних архитектурных улучшений системы изоляции Firefox, которые существенно повысили защищенность браузера от широкого спектра потенциальных атак.
Рекомендации по обновлению
Хотя признаков эксплуатации уязвимостей в реальных атаках пока не обнаружено, публичная демонстрация может спровоцировать злоумышленников на их использование. В связи с этим всем пользователям Firefox настоятельно рекомендуется обновить браузер до следующих версий:
— Firefox 138.0.4
— Firefox ESR 128.10.1
— Firefox ESR 115.23.1
Оперативность реакции Mozilla на обнаруженные уязвимости демонстрирует высокий уровень приверженности компании к обеспечению безопасности пользователей. Международная команда специалистов провела тщательное тестирование и подготовку патчей в кратчайшие сроки, что позволило минимизировать потенциальные риски для пользователей Firefox.