0-dagssårbarheder afsløret i Firefox under Pwn2Own i Berlin

Eskil Sørensen
05.20.2025 08:14
To kritiske sårbarheder blev demonstreret live under den internationale hackingkonkurrence. Mozilla reagerede hurtigt med opdateringer samme dag.

Hackerkonkurrencer tiltrækker verdens skarpeste it-sikkerhedseksperter, og netop disse arrangementer er ofte stedet, hvor alvorlige sårbarheder bliver afdækket først. Ifølge et vedholdende rygte ses der færre opdagede og rettede sårbarheder i Microsofts produkter i juli og august i forbindelse med Patch Tuesday – simpelthen fordi mange sikkerhedsresearchere 'gemmer' dem til Black Hat i Las Vegas i samme periode. Eller bare er travlt optaget af forberedelserne.

Når de store konkurrencer løber af stablen, som f.eks. Pwn2Own, følger både sikkerhedsbranchen og softwareproducenterne derfor med stor interesse.

Under den netop afholdte Pwn2Own Berlin 2025 blev to hidtil ukendte – og kritiske – sårbarheder i Mozillas Firefox-browser afsløret. Angrebene blev udført live af sikkerhedsresearchere og viste, hvordan fejl i JavaScript-håndtering kan udnyttes til blandt andet at læse eller skrive uden for tilladte hukommelsesområder. Mozilla reagerede hurtigt og udsendte sikkerhedsopdateringer samme dag som den sidste sårbarhed blev demonstreret. Så mnåske har Mozilla alligevel fået et tip.

Det skriver bl.a. Security Affairs.

Hurtig reaktion fra Mozilla

Selvom ingen af angrebene brød ud af browserens sandbox – den indbyggede sikkerhedsfunktion, der isolerer koden og begrænser skaderne – valgte Mozilla at lukke hullerne øjeblikkeligt. Ifølge Mozillas egen sikkerhedsblog blev version 138.0.4 af Firefox, samt opdateringer til både ESR-versionerne 128.10.1 og 115.23.1, udsendt samme dag. Firefox til Android er også opdateret.

Mozilla bemærker selv, at de udviste "ekstra forsigtighed", selvom sårbarhederne ikke havde systemkompromitterende effekt i praksis. Alligevel lyder anbefalingen, at alle brugere og administratorer bør opdatere deres installationer hurtigst muligt.

Sårbarhederne i detaljer

De to sårbarheder, som blev demonstreret under konkurrencen, er:

  • CVE-2025-4918: Et såkaldt out-of-bounds problem i håndteringen af JavaScript Promise-objekter. Fejlen gør det muligt at læse eller skrive data uden for det tiltænkte hukommelsesområde. Denne sårbarhed blev fundet af Edouard Bochin og Tao Yan fra Palo Alto Networks.
  • CVE-2025-4919: En lignende out-of-bounds sårbarhed, men denne gang relateret til en fejl i optimeringen af matematiske operationer i arrays. Opdagelsen blev gjort af Manfred Paul.

Begge opdagelser blev indsendt gennem Trend Micros Zero Day Initiative, som fungerer som mellemled mellem sikkerhedsresearchere og softwareleverandører.

Sårbarhed