Mozilla telah mengeluarkan kemas kini keselamatan kecemasan untuk Firefox bagi menangani dua kerentanan zero-day kritikal yang baru-baru ini ditunjukkan pada pertandingan penggodam Pwn2Own di Berlin. Kerentanan ini telah dieksploitasi dalam serangan dunia sebenar, menjadikan kemas kini ini sangat mendesak untuk semua pengguna Firefox.
Kerentanan Kritikal
Kedua-dua kelemahan keselamatan, dikenal pasti sebagai CVE-2025-4918 dan CVE-2025-4919, keduanya diklasifikasikan sebagai kerentanan akses luar sempadan kritikal dalam enjin JavaScript Firefox. Kerentanan pertama, yang ditemui oleh Edouard Bochin dan Tao Yan dari Palo Alto Networks, membolehkan penyerang melakukan bacaan atau penulisan luar sempadan pada objek JavaScript Promise. Kelemahan kedua, yang dikenal pasti oleh Manfred Paul, membolehkan akses luar sempadan yang serupa semasa mengoptimumkan jumlah linear, berpotensi membolehkan penyerang memanipulasi objek JavaScript dengan mengelirukan saiz indeks tatasusunan.
Butiran Kerentanan:
- CVE-2025-4918: Kelemahan akses luar sempadan dalam enjin JavaScript Firefox yang menjejaskan objek JavaScript Promise
- CVE-2025-4919: Akses luar sempadan semasa mengoptimumkan jumlah linear
- Kedua-dua kerentanan dinilai sebagai "Kritikal" oleh Mozilla
- Setiap penemuan kerentanan dianugerahkan $50,000 di Pwn2Own Berlin
Implikasi Dunia Sebenar
Kerentanan ini amat membimbangkan kerana memerlukan interaksi pengguna yang minimum. Penyerang berpotensi melaksanakan kod berbahaya hanya dengan memperdaya pengguna untuk melawat laman web yang dikompromi. Kedua-dua kelemahan ini ditunjukkan secara langsung di persidangan Pwn2Own Berlin, dengan setiap penyelidik menerima 50,000 dolar Amerika Syarikat untuk penemuan mereka. Sifat umum demonstrasi ini meningkatkan risiko eksploitasi meluas, kerana butiran teknikal kini tersedia kepada penyerang berpotensi.
Versi yang Terjejas
Kemas kini keselamatan ini menangani kerentanan dalam pelbagai versi Firefox termasuk pelayar Firefox standard (versi sebelum 138.0.4), versi Firefox Extended Support Release (ESR) sebelum 128.10.1 dan 115.23.1, dan Firefox untuk Android. Mozilla telah bertindak pantas untuk menampal isu-isu ini selepas ia didedahkan pada pertandingan penggodam.
Versi Firefox yang Terjejas:
- Firefox sebelum 138.0.4
- Firefox Extended Support Release (ESR) sebelum 128.10.1
- Firefox ESR sebelum 115.23.1
- Firefox untuk Android
Sisi Positif dalam Senibina Keselamatan Firefox
Walaupun kelemahan ini serius, Mozilla menyatakan bahawa tiada satu pun kerentanan tersebut berjaya memecahkan kotak pasir keselamatan Firefox. Ini adalah sempadan keselamatan penting yang perlu dilanggar oleh penyerang untuk mendapatkan kawalan penuh ke atas peranti pengguna. Ini menunjukkan peningkatan berbanding pertandingan Pwn2Own sebelumnya di mana kotak pasir Firefox berjaya dikompromi.
Cara untuk Mengemas Kini
Pengguna sangat dinasihatkan untuk mengemas kini pelayar Firefox mereka dengan segera. Kemas kini boleh diakses melalui menu Firefox dengan memilih Bantuan dan kemudian Tentang Firefox pada Windows, atau dengan memilih Tentang Firefox terus dari menu Firefox pada macOS. Pelayar akan secara automatik memeriksa kemas kini dan meminta pengguna untuk memulakan semula selepas kemas kini dipasang.
Konteks Lebih Luas Keselamatan Pelayar
Kemas kini Firefox ini datang di tengah-tengah siri tampalan kecemasan daripada pembangun pelayar utama. Apple baru-baru ini menangani dua kerentanan yang dieksploitasi, dan Google mengeluarkan tampalan kritikal untuk Chrome, termasuk kelemahan tahap tinggi (CVE-2025-4664) yang membolehkan pengambilalihan akaun sepenuhnya. Agensi Keselamatan Siber dan Infrastruktur Amerika Syarikat (CISA) mengesahkan bahawa kerentanan Chrome itu sedang dieksploitasi secara aktif dalam serangan.
Kepentingan Kemas Kini Segera
Dengan serangan berasaskan pelayar yang semakin canggih, mengekalkan perisian yang dikemas kini adalah lebih kritikal daripada sebelumnya. Kerentanan zero-day ini menyoroti permainan kucing dan tikus yang berterusan antara penyelidik keselamatan dan aktor berniat jahat. Dengan segera memasang kemas kini keselamatan, pengguna dapat mengurangkan risiko menjadi mangsa eksploitasi ini dengan ketara.