Η Mozilla κυκλοφόρησε ενημερώσεις έκτακτης ανάγκης για την αντιμετώπιση δύο τρωτών σημείων μηδενικής ημέρας Firefox που αποδείχθηκαν στον πρόσφατο διαγωνισμό Hacking Pwn2own Berlin 2025.
Οι διορθώσεις, οι οποίες περιλαμβάνουν το Firefox στην επιφάνεια εργασίας και το Android και δύο εκτεταμένες εκδόσεις υποστήριξης (ESR), ήρθαν μόλις ώρες μετά την ολοκλήρωση του PWN2OWN, το Σάββατο, όπου αποδείχθηκε η δεύτερη ευπάθεια.
Το πρώτο ελάττωμα, που παρακολουθείται κάτω CVE-2025-4918είναι ένα ζήτημα ανάγνωσης/εγγραφής εκτός ορίων στον κινητήρα JavaScript κατά την επίλυση αντικειμένων υπόσχεσης.
Το ελάττωμα αποδείχθηκε κατά τη διάρκεια της 2ης ημέρας του διαγωνισμού από τους ερευνητές ασφαλείας Palo Alto Networks Edouard Bochin και Tao Yan, ο οποίος κέρδισε $ 50.000 για την ανακάλυψή τους.
Το δεύτερο ελάττωμα, CVE-2025-4919επιτρέπει στους επιτιθέμενους να εκτελούν out-of-bounds διαβάζει/γράφει σε ένα αντικείμενο JavaScript με σύγχυση μεγέθους δείκτη πίνακα.
Ανακαλύφθηκε από τον ερευνητή ασφαλείας Manfred Paul, ο οποίος απέκτησε μη εξουσιοδοτημένη πρόσβαση στο renderer του προγράμματος, κερδίζοντας 50.000 δολάρια στη διαδικασία.
Παρόλο που τα ελαττώματα αποτελούν σημαντικούς κινδύνους για τον Firefox, με την βαθμολογία Mozilla “κρίσιμη” στα δελτία του, ο προμηθευτής λογισμικού υπογράμμισε ότι ούτε οι ερευνητές δεν μπορούσαν να εκτελέσουν μια διαφυγή sandbox, αναφέροντας στοχευμένη ενίσχυση σε αυτό το μέτωπο.
“Σε αντίθεση με τα προηγούμενα χρόνια, ούτε η συμμετοχή δεν μπόρεσε να ξεφύγει από το sandbox μας φέτος,” εξήγησε ο Firefox στην ανακοίνωση.
“Έχουμε λεκτική επιβεβαίωση ότι αυτό αποδίδεται στις πρόσφατες αρχιτεκτονικές βελτιώσεις στο sandbox μας Firefox που έχουν στειρωθεί ένα ευρύ φάσμα τέτοιων επιθέσεων”.
Παρόλο που δεν υπάρχουν ενδείξεις ότι τα δύο ελαττώματα έχουν εκμεταλλευτεί έξω από το PWN2OWN, η δημόσια διαδήλωση τους θα μπορούσε να τροφοδοτήσει τις πραγματικές επιθέσεις σύντομα.
Για να μετριάσει αυτόν τον κίνδυνο, η Mozilla προσέλαβε μια ποικιλόμορφη “ομάδα εργασίας” από όλο τον κόσμο που εργάστηκε πυρετωδώς για να αναπτύξει διορθώσεις για τις αποδειχμένες εκμεταλλεύσεις, να τα δοκιμάσει και να προωθήσει τις ενημερώσεις ασφαλείας το συντομότερο δυνατό.
Οι χρήστες του Firefox συνιστώνται για αναβάθμιση Έκδοση 138.0.4, ESR 128.10.1ή ESR 115.23.1.
Το PWN2OWN BERLIN 2025 ολοκληρώθηκε το Σάββατο με πάνω από ένα εκατομμύριο δολάρια ΗΠΑ στις πληρωμές και η ομάδα Star Labs SG που κέρδισε τον τίτλο «Master ή PWN».
Δύο μηδενικές ημέρες του Firefox αποδείχθηκαν επίσης πέρυσι στο PWN2OWN Vancouver 2024, με το Mozilla να τα διορθώνει την επόμενη μέρα.
Με βάση μια ανάλυση 14 μέτρων κακόβουλων ενεργειών, ανακαλύψτε τις 10 κορυφαίες τεχνικές ATT & CK πίσω από το 93% των επιθέσεων και τον τρόπο υπεράσπισης εναντίον τους.
VIA: bleepingcomputer.com
