Mozilla, Firefox tarayıcısında hassas verilere erişmek veya kod yürütme elde etmek için potansiyel olarak kullanılabilecek iki kritik güvenlik kusurunu ele almak için güvenlik güncellemeleri yayınladı.
Her ikisi de PWN2OWN Berlin’de sıfır gün olarak sömürülen güvenlik açıkları aşağıda listelenmiştir –
- CVE-2025-4918-Bir saldırganın bir JavaScript Promise Nesnesi’ni okumasına veya yazmasına izin verebilecek vaat nesnelerini çözerken, sınır dışı bir erişim güvenlik açığı
- CVE-2025-4919-Bir saldırganın dizi dizin boyutlarını karıştırarak bir JavaScript nesnesinde okuma veya yazmasına izin verebilecek doğrusal toplamları optimize ederken, sınır dışı bir erişim güvenlik açığı.
Başka bir deyişle, kusurlardan herhangi birinin başarılı bir şekilde kullanılması, bir düşmanın sınır dışı okuma veya yazma elde etmesine izin verebilir, bu da daha sonra aksi takdirde hassas bilgilere erişmek için istismar edilebilir veya kod yürütme yolunu açabilecek bellek yolsuzluğuna neden olabilir.
Güvenlik açıkları, Firefox tarayıcının aşağıdaki sürümlerini etkiler –
Palo Alto Networks’ten Edouard Bochin ve Tao Yan, CVE-2025-4918’i bulma ve rapor ederek kredilendirildi. CVE-2025-4919’un keşfi Manfred Paul’e yatırıldı.
Geçen hafta PWN2OWN Berlin Hacking yarışmasında her iki eksikliğin her biri 50.000 dolar verildiği her iki eksikliğin de gösterildiğini belirtmek gerekir.
Web tarayıcılarının kötü amaçlı yazılım teslimi için cazip bir vektör olmaya devam ederken, kullanıcılara potansiyel tehditlere karşı korunmak için örneklerini en son sürüme güncellemeleri tavsiye edilir.