أصدرت شركة «موزيلا» تحديثات أمنية لمعالجة ثغرتين من النوع «ثغرات يوم الصفر» (Zero-Day) في متصفح «فايرفوكس»، جرى استغلالهما خلال مسابقة «Pwn2Own برلين» الأخيرة، وقد تتيحان للمهاجم تنفيذ تعليمات برمجية أو الوصول إلى معلومات حساسة.
الثغرتان موثقتان تحت المعرفين التاليين:
- CVE-2025-4918: ثغرة من نوع «وصول خارج حدود الذاكرة» (Out-of-Bounds Access) تحدث عند معالجة كائنات «الوعد» (Promise) في «جافا سكريبت»، وتتيح للمهاجم تنفيذ عمليات قراءة أو كتابة غير مصرح بها.
- CVE-2025-4919: ثغرة مشابهة ناجمة عن خلل في تحسين العمليات الحسابية الخطية، تسمح للمهاجم بالتلاعب بمؤشرات المصفوفات لتنفيذ عمليات قراءة أو كتابة خارج الحدود المسموح بها.
ويؤدي استغلال أي من الثغرتين إلى إمكانية الوصول إلى بيانات حساسة أو التسبب في تلف الذاكرة، ما يمهّد الطريق لتنفيذ تعليمات برمجية ضارة.
الإصدارات المتأثرة تشمل:
- جميع إصدارات «فايرفوكس» قبل الإصدار 138.0.4، بما في ذلك نسخة «فايرفوكس لنظام أندرويد».
- جميع إصدارات «فايرفوكس الإصدار الممتد للدعم» (ESR) قبل الإصدارين 128.10.1 و115.23.1.
وقد نُسب اكتشاف الثغرة الأولى إلى إدوارد بوشين وتاو يان من «بالو ألتو نتووركس»، بينما نُسبت الثانية إلى مانفريد بول. وجرى منح كل منهم مكافأة بقيمة 50 ألف دولار عقب إثبات استغلال الثغرتين بنجاح في المسابقة.
وأوضحت «موزيلا» في بيان: «لم تنجح أي من الهجمات في تجاوز طبقة العزل البرمجي (Sandbox)، وهي خطوة ضرورية للسيطرة الكاملة على نظام المستخدم. ورغم محدودية الأثر، ننصح جميع المستخدمين والمشرفين بتحديث متصفحاتهم فوراً».
