HackerNews 编译,转载请注明出处:
Mozilla已发布安全更新,修复其Firefox浏览器中两个可能被用于窃取敏感数据或执行任意代码的严重漏洞。这两个漏洞均作为零日漏洞在Pwn2Own柏林黑客大赛中被利用,详情如下——
CVE-2025-4918:解析Promise对象时存在的越界访问漏洞,攻击者可借此对JavaScript Promise对象实施读写操作。
CVE-2025-4919:优化线性累加运算时存在的越界访问漏洞,攻击者可通过混淆数组索引尺寸对JavaScript对象实施读写操作。
简而言之,成功利用任一漏洞的攻击者都能实施越界读写,进而窃取敏感信息或造成内存损坏,最终实现代码执行。该系列漏洞影响范围包括:
- 138.0.4版本之前的所有Firefox浏览器(含安卓版)128.10.1版本之前的所有Firefox扩展支持版(ESR)115.23.1版本之前的所有Firefox ESR版本
CVE-2025-4918的发现与报告归功于Palo Alto Networks的Edouard Bochin与Tao Yan,CVE-2025-4919则由Manfred Paul发现。值得注意的是,这两个漏洞在上周的Pwn2Own柏林赛事中被成功演示利用,发现者各获得5万美元奖金。
Mozilla在声明中强调:“两起攻击均未突破我们的沙箱环境(这是获取用户系统控制权的必要条件)。尽管实际影响有限,仍建议所有用户和管理员立即升级至最新版本。”鉴于浏览器仍是恶意软件传播的主要载体,及时更新成为抵御潜在威胁的关键措施。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
