أصدرت Mozilla تحديثات أمنية لمعالجة ثغرتين خطيرتين في متصفح Firefox، والتي يمكن استغلالها للوصول إلى البيانات الحساسة أو تنفيذ تعليمات برمجية خبيثة.
تفاصيل الثغرات الأمنية
تم استغلال هاتين الثغرتين كـ Zero-Day خلال مسابقة Pwn2Own Berlin، وهما:
-
CVE-2025-4918: ثغرة وصول خارج النطاق (Out-of-Bounds) عند حل كائنات Promise في JavaScript، مما قد يسمح للمهاجم بقراءة أو كتابة بيانات في كائن Promise.
-
CVE-2025-4919: ثغرة وصول خارج النطاق عند تحسين العمليات الحسابية الخطية، مما قد يتيح للمهاجم قراءة أو كتابة بيانات في كائن JavaScript عن طريق التلاعب بأحجام فهارس المصفوفات.
بمعنى آخر، يمكن أن يؤدي استغلال أي من هاتين الثغرتين إلى قراءة أو كتابة خارج النطاق المسموح، مما قد يتسبب في تلف الذاكرة أو تنفيذ تعليمات برمجية خبيثة.
الإصابات المتأثرة بالثغرات
تؤثر هذه الثغرات على الإصابات التالية من Firefox:
-
جميع إصدارات Firefox قبل 138.0.4 (بما في ذلك Firefox لنظام Android).
-
جميع إصدارات Firefox Extended Support Release (ESR) قبل 128.10.1.
-
جميع إصدارات Firefox ESR قبل 115.23.1.
المكتشفون والمكافآت
-
تم اكتشاف CVE-2025-4918 بواسطة إدوارد بوشين وتاو يان من Palo Alto Networks.
-
بينما اكتشف CVE-2025-4919 الباحث مانفريد بول.
-
حصل الباحثون على 50 ألف دولار لكل ثغرة خلال مسابقة Pwn2Own Berlin.
توصيات التحديث الأمني
مع استمرار استهداف المتصفحات كوسيلة لنشر البرمجيات الخبيثة، يُنصح المستخدمون بتحديث Firefox إلى أحدث إصدار فورًا لتجنب أي تهديدات محتملة.
وأكدت Mozilla في بيان لها:
“لم يتمكن أي من الهجمات من اختراق البيئة المحمية (Sandbox)، وهو شرط أساسي للسيطرة على نظام المستخدم. ومع ذلك، ننصح جميع المستخدمين والمسؤولين بتثبيت التحديثات في أسرع وقت ممكن.”
