Разработчики Mozilla выпустили срочные обновления для Firefox, которые устраняют две уязвимости нулевого дня, продемонстрированные в рамках завершившегося на днях хакерского соревнования Pwn2Own Berlin.
Патчи для десктопной и Android-версии Firefox, а также для двух Extended Support Release (ESR) появились спустя всего несколько часов после завершения Pwn2Own в минувшие выходные.
Первая уязвимость, зарегистрированная под идентификатором CVE-2025-4918, представляет собой проблему out-of-bounds чтения/записи, возникающую при разрешении объектов Promise в движке JavaScript.
Баг был продемонстрирован на второй день конкурса специалистами из команды Palo Alto Networks. Обнаружение и эксплуатация этого недостатка принесли команде 50 000 долларов.
Вторая уязвимость, CVE-2025-4919, позволяет атакующим выполнять out-of-bounds чтение и запись в объекте JavaScript за счет путаницы в определении границ массива.
Уязвимость обнаружил ИБ-исследователь Мэнфред Пол (Manfred Paul), которому в итоге удалось получить несанкционированный доступ к рендереру программы, что принесло ему 50 000 долларов.
Несмотря на то, что обе уязвимости оцениваются как критические, в Mozilla подчеркивают, что ни один из исследователей не смог сбежать из песочницы, благодаря ранее внедренным защитным мерам.
«В отличие от предыдущих лет, в этом году ни одной из команд не удалось выйти из нашей песочницы. Нам устно подтвердили, что, это связано с недавними архитектурными улучшениями песочницы Firefox, которые нейтрализовали широкий спектр подобных угроз», — пишут разработчики.
Хотя пока не было обнаружено никаких признаков того, что уязвимости использовались где-то кроме Pwn2Own, их публичная демонстрация могла послужить толчком к реальным атакам. Чтобы снизить риски, Mozilla привлекла к созданию патчей многопрофильную «оперативную группу», в которую вошли специалисты со всего мира. Эксперты приложили все усилия для создания исправлений, а также провели тестирование и выпустили обновления в кратчайшие сроки.
Теперь пользователям Firefox рекомендуется как можно скорее обновиться до версий 138.0.4, ESR 128.10.1 или ESR 115.23.1.
