Mozilla, son PWN2own Berlin 2025 hackleme yarışmasında gösterilen iki Firefox sıfır günü güvenlik açıklarını ele almak için acil durum güvenlik güncellemeleri yayınladı.
Masaüstü ve Android’deki Firefox ve iki genişletilmiş destek bültenini (ESR) içeren düzeltmeler, ikinci güvenlik açığının gösterildiği Cumartesi günü PWN2OWN’in sonuçlandırılmasından sadece saatler sonra geldi.
CVE-2025-4918 altında izlenen ilk kusur, vaat nesnelerini çözerken JavaScript motorunda sınır dışı bir okuma/yazma sorunudur.
Kusur, keşifleri için 50.000 dolar kazanan Palo Alto Networks güvenlik araştırmacıları Edouard Bochin ve Tao Yan’ın yarışmasının 2. gününde gösterildi.
İkinci kusur, CVE-2025-4919, saldırganların dizi dizin boyutlarını karıştırarak bir JavaScript nesnesinde sınır dışı okumalar/yazmalar yapmasına izin verir.
Programın oluşturucuunda yetkisiz erişim elde eden güvenlik araştırmacısı Manfred Paul tarafından keşfedildi ve bu süreçte 50.000 dolar kazandı.
Kusurlar Firefox için önemli riskler oluştursa da, Mozilla onları bültenlerinde “kritik” derecelendirmiş olsa da, yazılım satıcısı, hiçbir araştırmacının bu cephede hedeflenen güçlendirmeye atıfta bulunarak bir sanal alan kaçışı gerçekleştiremeyeceğini vurguladı.
Duyuruda Firefox, “Önceki yılların aksine, her iki katkı grubu da bu yıl kum havuzumuzdan kaçamadı.” Diye açıkladı.
Diyerek şöyle devam etti: “Bunun, bu tür saldırıları kısırlaştıran Firefox Sandbox’ımızdaki son mimari iyileştirmelere atfedildiğine dair sözlü bir onayımız var.”
İki kusurun PWN2OWN dışında kullanıldığına dair hiçbir belirti olmamasına rağmen, halka açık gösterileri yakında gerçek saldırıları artırabilir.
Bu riski azaltmak için Mozilla, dünyanın dört bir yanından, gösterilen istismarlar için düzeltmeler geliştirmek, test etmek ve güvenlik güncellemelerini mümkün olan en kısa sürede itmek için ateşli bir şekilde çalışan çeşitli bir “görev gücü” ile uğraştı.
Firefox kullanıcılarının 138.0.4, ESR 128.10.1 veya ESR 115.23.1 sürümüne yükseltilmesi önerilir.
PWN2OWN Berlin 2025 Cumartesi günü bir milyondan fazla ödeme ile sonuçlandı ve Star Labs SG ekibi ‘Master veya PWN’ unvanını kazandı.
Geçen yıl Pwn2own Vancouver 2024’te iki Firefox sıfır günü de gösterildi ve Mozilla ertesi gün onları sabitledi.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.