Η Mozilla κυκλοφόρησε επείγουσες ενημερώσεις ασφαλείας για τον Firefox, για να αντιμετωπίσει δύο σοβαρές ευπάθειες που ενδέχεται να επιτρέπουν εκτέλεση κακόβουλου κώδικα ή υποκλοπή ευαίσθητων δεδομένων. Και τα δύο κενά ασφαλείας αξιοποιήθηκαν πρόσφατα στο πλαίσιο του διαγωνισμού Pwn2Own Berlin ως επιθέσεις «zero-day».
Οι ευπάθειες παρακολουθούνται ως εξής:
- CVE-2025-4918: Μια ευπάθεια out-of-bounds access κατά το resolving των Promise objects, που μπορεί να οδηγήσει σε αυθαίρετη ανάγνωση ή εγγραφή δεδομένων σε ένα JavaScript Promise object.
- CVE-2025-4919: Άλλο ένα σφάλμα out-of-bounds access κατά τη βελτιστοποίηση linear sums που θα μπορούσαν να επιτρέψουν σε έναν εισβολέα να εκτελεί ανάγνωση ή εγγραφή σε ένα JavaScript object μπερδεύοντας array index sizes.
Δείτε επίσης: Ευπάθεια UAF της πύλης RD Gateway επιτρέπει RCE
Η επιτυχής εκμετάλλευση των συγκεκριμένων ευπαθειών στο Mozilla Firefox θα μπορούσε να δώσει σε επιτιθέμενους πρόσβαση σε ευαίσθητα δεδομένα και να επιτρέψει memory corruption ή ακόμα και εκτέλεση κώδικα στον υπολογιστή του χρήστη.
Οι ευπάθειες επηρεάζουν:
- Όλες τις εκδόσεις του Firefox πριν από την 138.0.4
- Όλες τις εκδόσεις του Firefox Extended Support Release (ESR) πριν από την 128.10.1
- Όλες τις εκδόσεις του Firefox ESR πριν από την 115.23.1
Δείτε επίσης: Ευπάθεια του glibc εκθέτει συστήματα Linux σε επιθέσεις
Οι Edouard Bochin και Tao Yan από την Palo Alto Networks ανακάλυψαν και ανέφεραν την ευπάθεια CVE-2025-4918. Η ανακάλυψη του CVE-2025-4919 έχει πιστωθεί στον Manfred Paul.
Όπως προείπαμε, και οι δύο ευπάθειες στο Mozilla ανακαλύφθηκαν στον hacking διαγωνισμό Pwn2Own στο Βερολίνο την περασμένη εβδομάδα. Φέτος, η διοργάνωση εστίασε στις τεχνολογίες επιχειρήσεων, ενώ για πρώτη φορά πρόσθεσε μια ειδική κατηγορία τεχνητής νοημοσύνης (AI).
Μετά την αποκάλυψη των ευπαθειών, οι κατασκευαστές λογισμικού έχουν στη διάθεσή τους 90 ημέρες για να διορθώσουν τα κενά ασφαλείας πριν δημοσιοποιηθούν πλήρως.
Δείτε επίσης: Ευπάθειες SSRF: Τι είναι και πώς θα προστατευτείτε
Η αντίδραση της κοινότητας των hackers και του κοινού είναι πάντα ενθουσιώδης σε αυτούς τους διαγωνισμούς. Όλοι αναγνωρίζουν τη σημασία του διαγωνισμού στην προώθηση της ασφάλειας προϊόντων και συστημάτων.
Καθώς τα προγράμματα περιήγησης παραμένουν βασικός στόχος για κυβερνοεπιθέσεις, οι ειδικοί ασφαλείας τονίζουν την ανάγκη άμεσης ενημέρωσης στις πιο πρόσφατες εκδόσεις του λογισμικού.
Πηγή: thehackernews.com
