Розробники Mozilla випустили термінові оновлення для Firefox, які усувають дві вразливості нульового дня, продемонстровані в рамках хакерського змагання Pwn2Own Berlin, що завершилося днями.

Патчі для десктопної та Android-версії Firefox, а також для двох Extended Support Release (ESR) з’явилися лише за кілька годин після завершення Pwn2Own у минулі вихідні.

Перша вразливість, зареєстрована під ідентифікатором CVE-2025-4918, є проблемою out-of-bounds читання/запису, що виникає під час дозволу об’єктів Promise у рушії JavaScript.

Баг був продемонстрований на другий день конкурсу фахівцями з команди Palo Alto Networks. Виявлення та експлуатація цього недоліку принесли команді 50 000 доларів.

Друга вразливість, CVE-2025-4919, дає змогу атакувальникам виконувати out-of-bounds читання і запис в об’єкті JavaScript завдяки плутанині у визначенні меж масиву.

Вразливість виявив ІБ-дослідник Менфред Пол (Manfred Paul), якому в підсумку вдалося отримати несанкціонований доступ до рендера програми, що принесло йому 50 000 доларів.

Незважаючи на те, що обидві вразливості оцінюються як критичні, у Mozilla підкреслюють, що жоден із дослідників не зміг втекти з пісочниці, завдяки раніше впровадженим захисним заходам.

Хоча поки що не було виявлено жодних ознак того, що вразливості використовували десь крім Pwn2Own, їхня публічна демонстрація могла послужити поштовхом до реальних атак. Щоб знизити ризики, Mozilla залучила до створення патчів багатопрофільну «оперативну групу», до якої увійшли фахівці з усього світу. Експерти доклали всіх зусиль для створення виправлень, а також провели тестування і випустили оновлення в найкоротші терміни.

Тепер користувачам Firefox рекомендується якомога швидше оновитися до версій 138.0.4, ESR 128.10.1 або ESR 115.23.1.