موزیلا بهروزرسانیهای امنیتی را برای رفع دو نقص امنیتی حیاتی در مرورگر فایرفاکس منتشر کرده است که میتوانند به طور بالقوه جهت دسترسی به دادههای حساس یا اجرای کد مورد سوءاستفاده قرار گیرند.
این آسیبپذیریها که هر دو به عنوان آسیبپذیری روز صفر در Pwn2Own برلین اکسپلویت شدند، به شرح زیر هستند:
- CVE-2025-4918: آسیبپذیری دسترسی خارج از محدوده هنگام حل اشیاء Promise که میتواند به مهاجم اجازه دهد تا خواندن یا نوشتن را روی یک شیء Promise جاوا اسکریپت انجام دهد.
- CVE-2025-4919: آسیبپذیری دسترسی خارج از محدوده هنگام بهینهسازی مجموعهای خطی که میتواند به مهاجم اجازه دهد تا با اشتباه گرفتن اندازههای شاخص آرایه، خواندن یا نوشتن را روی یک شیء جاوا اسکریپت انجام دهد.
به عبارت دیگر، اکسپلویت موفقیتآمیز از هر یک از این نقصها میتواند به مهاجم اجازه دهد تا به خواندن یا نوشتن خارج از محدوده دست یابد، که سپس میتواند برای دسترسی به اطلاعات حساس دیگر مورد سوءاستفاده شود یا منجر به تخریب حافظه شود که میتواند راه را برای اجرای کد هموار کند. آسیبپذیریهای یاد شده نسخههای زیر از مرورگر فایرفاکس را تحت تأثیر قرار میدهند:
- تمام نسخههای فایرفاکس قبل از 138.0.4
- تمام نسخههای Firefox Extended Support Release (ESR) قبل از 128.10.1
- تمام نسخههای Firefox ESR قبل از 115.23.1
https://thehackernews.com/2025/05/firefox-patches-2-zero-days-exploited.html
