Mozilla آسیبپذیریهای Zero-Day مرورگر Firefox را اصلاح کرد.
Mozilla بهمنظور رفع دو آسیبپذیری Zero-Day در مرورگر Firefox، بهروزرسانی اضطراری امنیتی منتشر کرده است. این آسیبپذیریها در مسابقه اخیر Pwn2Own Berlin 2025 توسط محققان امنیتی بهطور موفقیتآمیز مورد بهرهبرداری قرار گرفتند.
این اصلاحیهها شامل نسخههای دسکتاپ و اندروید مرورگر Firefox و همچنین دو نسخه Extended Support Release (ESR) میشوند و تنها چند ساعت پس از پایان رقابت Pwn2Own، در روز شنبه، منتشر شدهاند؛ زمانی که دومین آسیبپذیری نیز به نمایش گذاشته شد.
نخستین نقص امنیتی با شناسه CVE-2025-4918 شناسایی شده و مربوط به یک مشکل خواندن/نوشتن خارج از محدوده (Out-of-Bounds Read/Write) در موتور جاوااسکریپت مرورگر است که هنگام پردازش اشیاء Promise رخ میدهد.
Mozilla برای رفع دو آسیبپذیری Zero-Day که در جریان رقابت امنیتی Pwn2Own Berlin 2025 نمایش داده شدند، بهروزرسانی اضطراری امنیتی منتشر کرده است. این آسیبپذیریها بلافاصله پس از پایان روز دوم این رویداد، که روز شنبه برگزار شد، وصله شدند.
نخستین نقص امنیتی با شناسه CVE-2025-4918، یک ضعف از نوع «خواندن/نوشتن خارج از محدوده» (Out-of-Bounds Read/Write) در موتور JavaScript مرورگر است که هنگام مدیریت اشیاء Promise رخ میدهد. این آسیبپذیری توسط پژوهشگران امنیتی شرکت Palo Alto Networks، آقایان Edouard Bochin و Tao Yan کشف و در روز دوم مسابقه به نمایش گذاشته شد. آنها بهدلیل کشف این نقص موفق به دریافت جایزهای به مبلغ ۵۰٬۰۰۰ دلار شدند.
دومین آسیبپذیری با شناسه CVE-2025-4919 امکان خواندن/نوشتن خارج از محدوده روی یک شیء JavaScript را با گمراهسازی اندازه ایندکس آرایه برای مهاجم فراهم میسازد. این نقص امنیتی توسط پژوهشگر مستقل Manfred Paul شناسایی شد؛ وی توانست بدون مجوز به رندرر مرورگر نفوذ کند و در ازای این کشف، مبلغ ۵۰٬۰۰۰ دلار دریافت کرد.
با اینکه این آسیبپذیریها خطرات قابل توجهی برای مرورگر Firefox دارند و Mozilla آنها را با سطح “بحرانی” (Critical) ارزیابی کرده است، این شرکت تأکید کرد که هیچیک از محققان موفق به فرار از محیط امن (sandbox) مرورگر نشدند؛ موضوعی که به تقویت معماری امنیتی اخیر Firefox نسبت داده شده است.
در بیانیه رسمی Mozilla آمده است:
«برخلاف سالهای گذشته، هیچیک از تیمهای شرکتکننده در این دوره نتوانستند از sandbox ما فرار کنند. ما بهصورت شفاهی تأییدیهای دریافت کردهایم مبنی بر اینکه این امر نتیجه بهبودهای معماری اخیر در sandbox مرورگر Firefox است که دامنه گستردهای از این نوع حملات را خنثی کردهاند.»
هرچند تاکنون هیچ گزارشی مبنی بر سوءاستفاده از این آسیبپذیریها در فضای واقعی منتشر نشده، نمایش عمومی آنها میتواند زمینهساز حملات هدفمند در آینده نزدیک شود. برای کاهش این خطر، Mozilla یک تیم واکنش سریع متشکل از کارشناسان امنیتی در نقاط مختلف جهان را بهکار گرفت تا بهسرعت اصلاحیههای لازم را طراحی، آزمایش و منتشر کنند.
کاربران مرورگر Firefox توصیه میشوند هر چه سریعتر به نسخههای زیر بهروزرسانی کنند:
مسابقه Pwn2Own Berlin 2025 روز شنبه به پایان رسید و در مجموع بیش از یک میلیون دلار جایزه نقدی به برندگان اهدا شد. تیم STAR Labs SG عنوان «Master of Pwn» را از آن خود کرد.
شایان ذکر است که در سال گذشته نیز دو آسیبپذیری Zero-Day در Firefox طی رویداد Pwn2Own Vancouver 2024 نمایش داده شدند که Mozilla آنها را تنها یک روز پس از افشا، وصله کرد.
