Mozilla 釋出了 Firefox 的緊急安全更新,以解決最近在柏林 Pwn2Own 駭客競賽中演示的兩個嚴重零日漏洞。這些漏洞已經在實際攻擊中被利用,使得此次更新對所有 Firefox 使用者尤為緊急。
嚴重漏洞詳情
這兩個安全漏洞,分別被追蹤為 CVE-2025-4918 和 CVE-2025-4919,都被歸類為 Firefox JavaScript 引擎中的嚴重越界訪問漏洞。第一個漏洞由 Palo Alto Networks 的 Edouard Bochin 和 Tao Yan 發現,允許攻擊者對 JavaScript Promise 物件執行越界讀取或寫入。第二個漏洞由 Manfred Paul 識別,在最佳化線性和時會啟用類似的越界訪問,可能允許攻擊者透過混淆陣列索引大小來操縱 JavaScript 物件。
漏洞詳情:
- CVE-2025-4918:Firefox JavaScript 引擎中影響 JavaScript Promise 物件的越界訪問漏洞
- CVE-2025-4919:最佳化線性求和時的越界訪問漏洞
- 這兩個漏洞均被 Mozilla 評為"嚴重級別"
- 每個漏洞的發現在 Pwn2Own Berlin 比賽中獲得了 50,000 美元的獎勵
現實世界的影響
這些漏洞特別令人擔憂,因為它們只需要最少的使用者互動。攻擊者只需誘騙使用者訪問受感染的網站,就有可能執行惡意程式碼。這兩個漏洞都在 Pwn2Own 柏林會議上進行了現場演示,每位研究人員因其發現獲得了 50000 美元的獎勵。這些演示的公開性質增加了廣泛利用的風險,因為技術細節現在已經可供潛在攻擊者使用。
受影響的版本
此安全更新解決了多個 Firefox 版本中的漏洞,包括標準 Firefox 瀏覽器(138.0.4 之前的版本)、Firefox 擴充套件支援版本 (ESR)(128.10.1 和 115.23.1 之前的版本)以及 Firefox for Android。在駭客競賽揭示這些問題後,Mozilla 迅速採取行動修補了這些漏洞。
受影響的 Firefox 版本:
- Firefox 138.0.4 之前的版本
- Firefox 延長支援版本 (ESR) 128.10.1 之前的版本
- Firefox ESR 115.23.1 之前的版本
- Firefox for Android
Firefox 安全架構的亮點
儘管這些漏洞很嚴重,但 Mozilla 指出,這兩個漏洞都沒能突破 Firefox 的安全沙箱。這是一個重要的安全邊界,攻擊者需要突破它才能完全控制使用者的裝置。與之前 Pwn2Own 競賽中 Firefox 沙箱被成功突破相比,這是一個進步。
如何更新
強烈建議使用者立即更新他們的 Firefox 瀏覽器。在 Windows 上,可以透過選擇幫助,然後選擇關於 Firefox來訪問更新;在 macOS 上,可以直接從 Firefox 選單中選擇關於 Firefox。瀏覽器將自動檢查更新,並在安裝更新後提示使用者重啟。
瀏覽器安全的更廣泛背景
此次 Firefox 更新是在各大瀏覽器開發商釋出一系列緊急補丁的背景下進行的。Apple 最近解決了兩個被利用的漏洞,而 Google 為 Chrome 釋出了關鍵補丁,包括一個高危漏洞(CVE-2025-4664),該漏洞允許完全接管賬戶。美國網路安全和基礎設施安全域性(CISA)確認,Chrome 漏洞正在被積極用於攻擊。
及時更新的重要性
隨著基於瀏覽器的攻擊變得越來越複雜,保持軟體更新比以往任何時候都更為重要。這些零日漏洞突顯了安全研究人員與惡意行為者之間持續進行的貓鼠遊戲。透過及時安裝安全更新,使用者可以顯著降低成為這些漏洞受害者的風險。