火狐修复Pwn2Own大会上利用的2个0day漏洞

发布于 作者:

火狐修复Pwn2Own大会上利用的2个0day漏洞

Ravie Lakshmanan 代码卫士 2025-05-20 10:34

聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Mozilla 公司已发布安全更新,修复位于火狐浏览器中的两个严重漏洞。这两个漏洞可被用于访问敏感数据或实现代码执行。

这两个漏洞均在刚刚结束的柏林 Pwn2Own 大赛上遭利用,简述如下:

  • CVE-2025-4918:解析 Promise 对象时触发的界外访问漏洞,可导致攻击者在 JavaScript Promise 对象上读或写。

  • CVE-2025-4919:优化线性求和时触发的界外访问漏洞,可导致攻击者通过混淆数组指数大小,在 JavaScript 对象上执行读或写。

换句话说,成功利用其中任何一个漏洞均可导致攻击者实现界外读或界外写,之后被滥用于访问敏感信息或导致内存损坏,为后续代码执行做准备。这些漏洞影响火狐浏览器如下版本:

  • 火狐浏览器138.0.4之前的所有版本(包括安卓版)

  • 火狐浏览器128.10.1之前的所有延伸支持发布 (ESR)

  • 火狐浏览器115.23.1之前的所有版本

Palo Alto Networks 公司的研究员 Edouard Bochin 和 Tao Yan 发现并报送了漏洞CVE-2025-4918,而另外一个漏洞由Manfred Paul 发现并报送。值得一提的是,这两个漏洞均在Pwn2Own 柏林大赛上进行了演示且每个漏洞的赏金均为5万美元。

随着web浏览器持续成为恶意软件传播的有吸引力的向量,建议用户将实例更新至最新版本以应对潜在威胁。Mozilla 公司在一份声明中表示,“这些攻击均未能突破我们的沙箱,即获得对用户系统的控制权限。尽管这些攻击的影响有限,但仍然建议所有用户和管理员尽快更新火狐浏览器。”

代码卫士试用地址:
https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

2025 Pwn2Own 柏林黑客大赛落下帷幕 Master of Pwn 诞生

2025年Pwn2Own柏林大赛奖金和目标公布

俄黑客组织 RomCom 被指利用火狐和Windows 0day攻击用户

火狐修复神秘的严重漏洞,同时影响Chrome 浏览器

Chrome 136修复已存在20年的浏览器历史隐私风险

原文链接

https://thehackernews.com/2025/05/firefox-patches-2-zero-days-exploited.html

题图:
Pexels Licen
se

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

觉得不错,就点个 “
在看
” 或 “

” 吧~