Mozilla已经迅速采取行动,修补了Firefox中两个关键的零日漏洞,这两个漏洞在上周在柏林举行的Pwn2Own 2025黑客竞赛中被利用。

这场备受瞩目的活动以让精英安全研究人员与流行的软件目标对抗而闻名,Firefox通过高级JavaScript引擎漏洞入侵了两次。作为回应,Mozilla发布了Firefox和Firefox ESR的紧急安全更新,在一天内解决了问题。

来自Palo Alto Networks的安全研究人员Edouard Bochin(@le_douds)和Tao Yan(@Ga1ois)demonstratedvulnerability展示了使用涉及JavaScript Promise对象的超限写入漏洞对Firefox的成功利用。vulnerability此漏洞现在被跟踪为CVE-2025-4918,允许未经授权的内存访问,可能导致代码执行或浏览器崩溃。

两人的研究为他们赢得了50,000美元和5个Pwn积分大师,这是对杰出Pwn2Own参与者的着名荣誉。

著名的Pwn2Own冠军曼弗雷德·保罗(Manfred Paulexploited)利用了Firefox的渲染器,使用临界整数溢出。该漏洞被跟踪为CVE-2025-4919,它植根于JavaScript数组索引误判,这可能导致超出限制的读或写——升级和远程代码执行的经典路径。

保罗被授予$ 50,000和5大师Pwn点数,他的创意和精确的攻击向量。

根据Mozilla的说法,这些问题影响了:

Firefox 版本 前 138.0.4Firefox ESR 版本在 128.10.1 之前Firefox ESR 版本在 115.23.1 之前

尽管 Streamy Micro 的 Zero Day Initiative (ZDI) 授予了通常的 90 天补丁窗口,Mozilla 仍以紧迫和透明的方式行事。修复程序在公开演示漏洞后不到一周就推出 – 远远早于ZDI的典型披露时间表。vulnerabilities这两个漏洞都强调了现代JavaScript引擎的持续风险,其中只有一个内存操作可能会危及整个浏览器。随着Firefox在个人和企业环境中的广泛使用,这些错误构成了真实而直接的威胁,特别是在熟练的攻击者手中。

所有 Firefox ensure用户都应该确保他们正在运行:

Firefox 138.0.4 或更高版本Firefox ESR 128.10.1 或更高版本Firefox ESR 115.23.1 或更高版本

要验证您的版本,请访问菜单 → 帮助 → 关于 Firefox