وصله دو آسیب‌پذیری روز صفر بهره‌برداری شده در Pwn2Own توسط فایرفاکس

موزیلا به‌روزرسانی‌های امنیتی را برای رفع دو نقص امنیتی بحرانی در مرورگر فایرفاکس خود منتشر نمود که می‌توانستند به طور بالقوه برای دسترسی به داده‌های حساس یا اجرای کد مورد بهره برداری قرار گیرند.

این آسیب‌پذیری‌ها، که هر دو به عنوان آسیب‌پذیری روز صفر در Pwn2Own برلین مورد بهره برداری قرار گرفتند، در زیر فهرست شده‌اند.

CVE-2025-4918 - یک آسیب‌پذیری دسترسی خارج از محدوده هنگام حل کردن اشیاء Promise که می‌تواند به مهاجم اجازه دهد تا خواندن یا نوشتن روی یک شیء Promise جاوا اسکریپت را انجام دهد.

CVE-2025-4919 - یک آسیب‌پذیری دسترسی خارج از محدوده هنگام بهینه‌سازی مجموع‌های خطی که می‌تواند به مهاجم اجازه دهد تا با اشتباه گرفتن اندازه‌های شاخص آرایه، خواندن یا نوشتن روی یک شیء جاوا اسکریپت را انجام دهد.

به عبارت دیگر، بهره برداری موفقیت‌آمیز از هر یک از این نقص‌ها این امکان را به مهاجم می دهد تا خواندن یا نوشتن خارج از محدوده را انجام دهد، که سپس می‌تواند برای دسترسی به اطلاعات حساس دیگر مورد بهره برداری قرار گیرد یا منجر به تخریب حافظه شود که می‌تواند راه را برای اجرای کد هموار نماید.

این آسیب‌پذیری‌ها نسخه‌های زیر از مرورگر فایرفاکس را تحت تأثیر قرار می‌دهند :

• تمام نسخه‌های قبل از ۱۳۸.۰.۴ فایرفاکس (از جمله فایرفاکس برای اندروید)
• تمام نسخه‌های پشتیبانی گسترده فایرکس (ESR) قبل از ۱۲۸.۱۰.۱
• تمام نسخه‌های فایرفاکس ESR قبل از ۱۱۵.۲۳.۱

ادوارد بوچین و تائو یان از Palo Alto Networks به خاطر یافتن و گزارش آسیب پذیری با شناسه CVE-۲۰۲۵-۴۹۱۸ مورد تقدیر قرار گرفته‌اند. کشف آسیب پذیری با شناسه  CVE-2025-4919 به Manfred Paul نسبت داده شده است.

با توجه به اینکه مرورگرهای وب همچنان یک مسیر جذاب برای انتقال بدافزار هستند، به کاربران توصیه می‌شود که سیستم‌های خود را به آخرین نسخه به‌روزرسانی کنند تا در برابر تهدیدات احتمالی محافظت شوند.

موزیلا در بیانیه‌ای اعلام کرد: «هیچ‌کدام از این حملات نتوانستند از سندباکس ما که برای کنترل سیستم کاربر لازم است، خارج شوند. با وجود تأثیر محدود این حملات، به همه کاربران و مدیران توصیه می‌شود که در اسرع وقت فایرفاکس را به‌روزرسانی کنند.»

منبع:

https://thehackernews.com/2025/05/firefox-patches-2-zero-days-exploited.html