ثغرتان من نوع zero-day تضربان فايرفوكس
ثغرتان من نوع "zero-day" تضربان فايرفوكس – موزيلا تصدر تحديثًا عاجلاً
أصدرت Mozilla تحديثات أمنية عاجلة لمعالجة عيبين أمنيين حرجين في متصفح فايرفوكس، واللذين يمكن استغلالهما للوصول إلى بيانات حساسة أو لتنفيذ تعليمات برمجية ضارة على الأجهزة المستهدفة.
تفاصيل الثغرتين:
كلا العيبين تم استغلالهما بنجاح ضمن مسابقة Pwn2Own Berlin الأخيرة:
-
CVE-2025-4918: خلل في Out-of-Bounds يحدث عند معالجة كائنات
Promiseفي JavaScript، مما قد يسمح للمهاجم بإجراء عمليات قراءة أو كتابة خارجية على الكائن. - CVE-2025-4919: ثغرة تحدث أثناء تحسين المبالغ الخطية (Linear Sum Optimization)، حيث يمكن للمهاجم التلاعب بأحجام فهارس المصفوفات لتنفيذ عمليات قراءة/كتابة غير مصرح بها.
باختصار، يمكن استغلال أي من الثغرتين لتنفيذ تعليمات برمجية (RCE) أو للوصول إلى بيانات حساسة من خلال تجاوز الحدود الآمنة للذاكرة.
الإصدارات المتأثرة:
- جميع إصدارات Firefox قبل 138.0.4
- جميع إصدارات Firefox ESR قبل 128.10.1
- جميع إصدارات Firefox ESR قبل 115.23.1
الجهات المكتشفة:
- إدوارد بوشين وتاو يان من شركة Palo Alto Networks – مكتشفا الثغرة CVE-2025-4918
- مانفريد بول – مكتشف الثغرة CVE-2025-4919
وقد حصل كل فريق من الفرق المكتشفة على 50,000 دولار أمريكي كمكافأة من خلال Pwn2Own Berlin.
توصية أمنية:
يُنصح جميع المستخدمين بتحديث متصفح Firefox الخاص بهم فورًا إلى أحدث إصدار، لتفادي التعرض للاستغلال عبر هذه الثغرات.
مع استمرار متصفحات الويب في كونها وسيلة جذابة لنقل واستغلال البرمجيات الخبيثة، فإن التحديثات الأمنية أصبحت خط الدفاع الأول ضد هجمات يوم الصفر.