Mozilla修補Pwn2Own漏洞挖掘競賽找到的Firefox零時差漏洞

德國場漏洞挖掘競賽Pwn2Own Berlin 2025於5月15日至17日於德國首都柏林舉行，參賽隊伍總共找出28個零時差漏洞，得到超過100萬美元的獎勵，有軟體開發團隊接獲通報後，迅速做出回應及修補漏洞。

Mozilla基金會於5月17日發布公告，針對上述競賽找到的兩項重大層級Firefox零時差漏洞，他們已登記為CVE-2025-4918、CVE-2025-4919列管，並發布電腦版、安卓版Firefox 138.0.4，以及長期支援版（ESR）128.10.1、115.23.1修補這項漏洞，呼籲使用者及IT人員應儘速套用相關更新。

根據CVSS風險評分，較危險的是CVE-2025-4919，攻擊者可藉由混淆陣列索引的大小，對JavaScript物件進行越界讀取或是寫入，風險值為8.8；另一個漏洞CVE-2025-4918，也同樣是能被用於越界讀取或是寫入，差別在於只能針對名為Promise的JavaScript物件利用，風險值為7.5。

雖然漏洞已經修補完成，但Mozilla表示，他們將繼續研究人員通報的內容，來找出新的強化機制與安全機制改善措施，讓Firefox用戶能持續受到保護。

附帶一提，針對這兩項資安弱點的發現，Mozilla強調與過往Pwn2Own競賽找到的零時差漏洞有所不同，指出這次的參賽者無法直接突破Firefox的沙箱防護機制，代表他們近期對於Firefox的沙箱架構改良有所成效。

為何沙箱機制是攻擊者的主要標的？Mozilla指出，一般來說，攻擊者要對瀏覽器下手，通常會先入侵瀏覽器的分頁得到受害電腦有限的控制能力，基於Firefox的安全架構，攻擊者需要搭配沙箱逃逸相關弱點才能進一步得到更多存取權限，因此沙箱防護便成為防守上相當重要的環節，他們也針對這方面做出改進。