A Mozilla lançou atualizações de segurança emergenciais para corrigir duas vulnerabilidades zero-day no Firefox, demonstradas na recente competição de hacking Pwn2Own Berlin 2025.
As correções, que incluem o Firefox para Desktop e Android e duas Extended Support Releases (ESR), foram disponibilizadas poucas horas após o término do Pwn2Own, no sábado, onde a segunda vulnerabilidade foi demonstrada.
A primeira falha, identificada sob o código
CVE-2025-4918
, é um problema de leitura/escrita fora dos limites no motor JavaScript ao resolver objetos Promise.
Essa falha foi demonstrada durante o segundo dia da competição pelos pesquisadores de segurança da Palo Alto Networks, Edouard Bochin e Tao Yan, que ganharam US$ 50.000 pela descoberta.
A segunda falha,
CVE-2025-4919
, permite que atacantes realizem leituras/escritas fora dos limites em um objeto JavaScript ao confundir os tamanhos dos índices de arrays.
Foi descoberta pelo pesquisador de segurança Manfred Paul, que obteve acesso não autorizado dentro do renderizador do programa, ganhando US$ 50.000 no processo.
Embora as falhas constituam riscos significativos para o Firefox, com a Mozilla classificando-as como "críticas" em seus boletins, o fornecedor de software sublinhou que nenhum dos pesquisadores conseguiu realizar uma fuga do sandbox, citando um reforço direcionado nessa frente.
"Diferente dos anos anteriores, nenhum grupo participante conseguiu escapar do nosso sandbox este ano", explicou a Firefox no anúncio.
"Temos a confirmação verbal de que isso é atribuído às recentes melhorias arquitetônicas no nosso sandbox do Firefox, que neutralizaram uma ampla gama desses ataques."
Embora não haja indicações de que as duas falhas tenham sido exploradas fora do Pwn2Own, sua demonstração pública poderia alimentar ataques reais em breve.
Para mitigar esse risco, a Mozilla engajou uma "força-tarefa" diversificada de todo o mundo que trabalhou febrilmente para desenvolver correções para os exploits demonstrados, testá-los e disponibilizar atualizações de segurança o mais rápido possível.
Recomenda-se que os usuários do Firefox atualizem para a versão 138.0.4, ESR 128.10.1 ou ESR 115.23.1.
O Pwn2Own Berlin 2025 concluiu no sábado, com mais de um milhão de USD em pagamentos e a equipe da STAR Labs SG ganhando o título de 'Master of Pwn'.
Duas vulnerabilidades zero-day no Firefox também foram demonstradas no ano passado no Pwn2Own Vancouver 2024, com a Mozilla corrigindo-as no dia seguinte.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...