top of page

Mozilla corrige falhas críticas no Firefox exploradas durante o Pwn2Own 2025

  • Foto do escritor: Cyber Security Brazil
    Cyber Security Brazil
  • há 8 horas
  • 2 min de leitura

A Mozilla lançou atualizações emergenciais de segurança para corrigir duas vulnerabilidades zero-day críticas no navegador Firefox, exploradas recentemente durante a competição de hacking Pwn2Own Berlin 2025. As falhas foram demonstradas publicamente em versões para desktop, Android e nas versões ESR (Extended Support Release), motivando a empresa a agir rapidamente — as correções foram publicadas poucas horas após o encerramento do evento, no sábado.


A primeira vulnerabilidade, identificada como CVE-2025-4918, trata-se de um erro de leitura e escrita fora dos limites (out-of-bounds) no motor JavaScript do Firefox ao manipular objetos do tipo Promise. Ela foi explorada por Edouard Bochin e Tao Yan, da Palo Alto Networks, que receberam US$ 50 mil pela descoberta. A segunda falha, CVE-2025-4919, permitia a manipulação de índices de arrays para acessar dados fora dos limites de objetos JavaScript, sendo demonstrada pelo pesquisador Manfred Paul, que também recebeu US$ 50 mil pela façanha.


Apesar da gravidade das falhas — classificadas como “críticas” pela Mozilla —, nenhum dos participantes conseguiu escapar do sandbox do Firefox, mecanismo de proteção que isola processos do navegador. A Mozilla destacou que melhorias recentes na arquitetura da sandbox foram cruciais para bloquear esse tipo de ataque, o que representa um avanço significativo em relação às edições anteriores da competição.


Embora ainda não haja indícios de exploração ativa das vulnerabilidades fora do ambiente controlado do Pwn2Own, a exposição pública pode incentivar tentativas reais em breve. Para conter o risco, a Mozilla mobilizou uma força-tarefa global, que trabalhou intensamente para analisar, testar e distribuir rapidamente as atualizações de segurança. A recomendação para os usuários é que atualizem imediatamente para as versões Firefox 138.0.4, ESR 128.10.1 ou ESR 115.23.1.


O evento Pwn2Own Berlin 2025 foi encerrado no último sábado com mais de US$ 1 milhão em prêmios distribuídos, e a equipe STAR Labs SG conquistou o título de "Master of Pwn". Vale lembrar que, em 2024, duas falhas semelhantes também foram exploradas contra o Firefox durante o Pwn2Own Vancouver — e, assim como neste ano, a Mozilla publicou correções já no dia seguinte.


Via - BC

 
 
 

Commenti

Parceiros

Cupom 20% de desconto - CYBERSECBRA20 

bottom of page