Mozillaは、機密データへのアクセスやコード実行を達成するために悪用される可能性のある、Firefoxブラウザの2つの重大なセキュリティ欠陥に対処するためのセキュリティアップデートをリリースしました。
これらの脆弱性は、Pwn2Own Berlinでゼロデイとして悪用されたもので、以下にリストされています –
- CVE-2025-4918 – Promiseオブジェクトを解決する際の境界外アクセスの脆弱性で、攻撃者がJavaScriptのPromiseオブジェクトに対して読み取りまたは書き込みを行うことを可能にする可能性があります
- CVE-2025-4919 – 線形和を最適化する際の境界外アクセスの脆弱性で、攻撃者が配列インデックスのサイズを混乱させることにより、JavaScriptオブジェクトに対して読み取りまたは書き込みを行うことを可能にする可能性があります
言い換えれば、いずれかの欠陥をうまく悪用することで、攻撃者が境界外読み取りまたは書き込みを達成し、それを悪用して機密情報にアクセスしたり、メモリ破損を引き起こしてコード実行の道を開く可能性があります。
これらの脆弱性は、以下のバージョンのFirefoxブラウザに影響を与えます –
- Firefox 138.0.4より前のすべてのバージョン
- Firefox Extended Support Release (ESR) 128.10.1より前のすべてのバージョン
- Firefox ESR 115.23.1より前のすべてのバージョン
Edouard BochinとTao Yan(Palo Alto Networks所属)がCVE-2025-4918の発見と報告の功績を認められています。CVE-2025-4919の発見はManfred Paulに帰されています。
これらの欠陥は、先週のPwn2Own Berlinハッキングコンテストで実演され、それぞれ5万ドルの報酬が授与されました。
ウェブブラウザがマルウェア配信の魅力的なベクターであり続ける中、ユーザーは潜在的な脅威から身を守るために、インスタンスを最新バージョンに更新することが推奨されます。
翻訳元: https://thehackernews.com/2025/05/firefox-patches-2-zero-days-exploited.html