فایرفاکس دو آسیب‌پذیری روز-صفر کشف‌شده در Pwn2Own برلین را با پاداش ۱۰۰ هزار دلاری برطرف کرد!

شرکت موزیلا به‌روزرسانی‌های امنیتی جدیدی برای مرورگر فایرفاکس منتشر کرد که  شامل برطرف کردن دو آسیب‌پذیری حیاتی نیز است. این نقص‌ها می‌توانند به مهاجمان امکان دسترسی به اطلاعات حساس یا اجرای کد مخرب را بدهند. هر دو آسیب‌پذیری به‌صورت روز صفر در مسابقه هک Pwn2Own Berlin مورد سوءاستفاده قرار گرفتند و شامل موارد زیر هستند:

• CVE-2025-4918: نقص دسترسی خارج از محدوده هنگام پردازش اشیاء Promise در جاوااسکریپت، که امکان خواندن یا نوشتن غیرمجاز روی یک شیء Promise را برای مهاجم فراهم می‌کند.
• CVE-2025-4919: نقص دسترسی خارج از محدوده هنگام بهینه‌سازی مقادیر خطی، که با مبهم‌سازی اندازه شاخص(index) آرایه، به مهاجم اجازه خواندن یا نوشتن غیرمجاز روی اشیاء جاوااسکریپت را می‌دهد.

سوءاستفاده موفق از این نقص‌ها می‌تواند به انجام عملیات خواندن یا نوشتن خارج از محدوده منجر شود، که ممکن است باعث افشای اطلاعات حساس یا خرابی حافظه شده و زمینه را برای اجرای کد مخرب فراهم کند.

این آسیب‌پذیری‌ها در نسخه‌های زیر از فایرفاکس وجود دارند:

• تمام نسخه‌های فایرفاکس پیش از 138.0.4 (شامل نسخه اندروید)
• تمام نسخه‌های Firefox ESR پیش از 128.10.1
• تمام نسخه‌های Firefox ESR پیش از 115.23.1

مسابقه Pwn2Own برلین

مسابقه Pwn2Own برلین یکی از معتبرترین رویدادهای دنیای امنیت سایبری است که در آن محققان امنیتی از سراسر جهان گردهم می‌آیند تا با شناسایی و اکسپلویت آسیب‌پذیری‌های روز صفر در نرم‌افزارها و دستگاه‌های مختلف، مهارت خود را به نمایش بگذارند. این رقابت که با حمایت شرکت‌هایی مانند Trend Micro برگزار می‌شود، هم به کشف تهدیدات ناشناخته کمک می‌کند و هم با ارائه پاداش‌های مالی قابل‌توجه، انگیزه‌ای مثبت برای پژوهشگران امنیتی ایجاد می‌نماید. نسخه اخیر این مسابقه در برلین، تمرکز ویژه‌ای بر مرورگرها، گوشی‌های هوشمند و تجهیزات اینترنت اشیا داشت و برخی از آسیب‌پذیری‌های مهم، مانند دو مورد در مرورگر Firefox، در جریان آن کشف و گزارش شدند.

کشف این آسیب‌پذیری‌ها به پژوهشگران زیر نسبت داده شده است:

• Edouard Bochin و Tao Yan از شرکت Palo Alto Networks برای CVE-2025-4918
• Manfred Paul برای CVE-2025-4919

این نقص‌ها در مسابقه Pwn2Own Berlin نمایش داده شدند و به هر یک از تیم‌های کشف‌کننده جایزه‌ای ۵۰ هزار دلاری اعطا شد.

توصیه‌های امنیتی

با توجه به اینکه مرورگرهای وب یکی از مسیرهای اصلی تحویل بدافزار هستند، به کاربران توصیه شده است که فورا مرورگر خود را به آخرین نسخه به‌روزرسانی کنند. گزارش‌ها نشان می‌دهد که این حملات نتوانستند از محیط ایزوله (sandbox) فایرفاکس خارج شوند، که برای کنترل کامل سیستم ضروری است. با این حال، به دلیل اهمیت این نقص‌ها، به کاربران و مدیران سیستم اکیدا توصیه شده است که فایرفاکس را در اسرع وقت به‌روزرسانی کنند.

منابع: