Mozilla выпустила экстренные обновления безопасности для Firefox – всего через несколько часов после завершения хакерского соревнования Pwn2Own Berlin 2025 . Причиной стали две критические уязвимости нулевого дня, обнаруженные в браузере и публично продемонстрированные прямо на мероприятии.
Первая уязвимость CVE-2025-4918 (оценка CVSS: 7.5) затрагивает JavaScript-движок Firefox. Речь идёт о возможности чтения и записи данных за пределами допустимых границ при работе с объектами Promise. Брешь нашли специалисты из Palo Alto Networks. За успешную демонстрацию они получили $50 000.
Вторая уязвимость – CVE-2025-4919 (оценка CVSS: 8.8) – также связана с JavaScript, но касается манипуляций с индексами массивов. Исследователь Манфред Пауль показал, как можно путём неправильной обработки индексов массива добиться чтения и записи в недопустимые области памяти. За это выступление он также получил $50 000.
Обе уязвимости признаны критическими, поскольку позволяют потенциальным злоумышленникам вмешиваться в память процесса. Однако, по заявлению Mozilla, ни один из исследователей не смог выйти за пределы песочницы браузера – это обычно следующий шаг для построения полноценной цепочки атаки. Разработчики связывают это с недавними архитектурными изменениями, серьёзно усилившими защиту песочницы Firefox. По их словам, именно эти улучшения нейтрализовали целый класс атак, которые ещё год назад проходили успешно.
Хотя пока нет свидетельств того, что уязвимости уже используются в реальных атаках, их публичное раскрытие на соревновании может стать катализатором попыток эксплуатации в ближайшее время. Именно поэтому Mozilla оперативно собрала международную команду, которая за считаные часы подготовила, протестировала и выпустила обновления для всех актуальных версий браузера – как на настольных системах, так и на Android.
Обновления уже доступны для Firefox 138.0.4 , а также для версий с длительной поддержкой – ESR 128.10.1 и ESR 115.23.1 . Пользователям настоятельно рекомендуется установить их как можно скорее.
Соревнование Pwn2Own Berlin 2025 завершилось 17 мая. Общая сумма призов превысила миллион долларов, а титул “Master of Pwn” получила команда STAR Labs SG.