A Mozilla agiu rapidamente e lançou atualizações de segurança de emergência para o seu popular navegador Firefox. Esta medida visa corrigir duas vulnerabilidades "zero-day" que foram demonstradas recentemente na competição de hacking Pwn2Own Berlim 2025. As correções foram disponibilizadas poucas horas após a conclusão do evento, no passado Sábado, onde a segunda falha foi explorada.
As atualizações abrangem o Firefox para ambiente de trabalho (desktop), Firefox para Android e duas versões de Suporte Extendido (ESR).
Duas vulnerabilidades críticas demonstradas em competição de hacking
A primeira vulnerabilidade, identificada como CVE-2025-4918, consiste num problema de leitura e escrita fora dos limites (out-of-bounds read/write) no motor de JavaScript, especificamente ao resolver objetos Promise. Esta falha foi demonstrada no segundo dia da competição pelos investigadores de segurança Edouard Bochin e Tao Yan, da Palo Alto Networks, que arrecadaram um prémio de 50.000 dólares (aproximadamente 46.000 euros) pela sua descoberta.
A segunda falha, catalogada como CVE-2025-4919, permite que atacantes executem leituras e escritas fora dos limites num objeto JavaScript através da manipulação dos tamanhos dos índices de arrays. Foi o investigador de segurança Manfred Paul quem descobriu esta vulnerabilidade, conseguindo acesso não autorizado dentro do processo de renderização do programa e ganhando, igualmente, 50.000 dólares (cerca de 46.000 euros).
Resposta rápida da Mozilla e a importância da sandbox
Apesar de a Mozilla ter classificado ambas as falhas como "críticas" nos seus boletins de segurança, a empresa sublinhou um ponto positivo: nenhum dos investigadores conseguiu escapar da sandbox do Firefox.
"Ao contrário de anos anteriores, nenhum grupo participante conseguiu escapar da nossa sandbox este ano", explicou a equipa do Firefox no anúncio. "Temos confirmação verbal de que isto se deve às recentes melhorias arquitetónicas na nossa sandbox do Firefox, que neutralizaram uma vasta gama de ataques desse tipo."
Embora não existam indicações de que estas duas vulnerabilidades tenham sido exploradas fora do ambiente controlado do Pwn2Own, a sua demonstração pública poderia potenciar ataques reais num futuro próximo. Para mitigar este risco, a Mozilla mobilizou uma "equipa dedicada" de especialistas de todo o mundo, que trabalharam intensamente para desenvolver, testar e lançar as correções o mais depressa possível.
Atualização imediata recomendada para todos os utilizadores
A Mozilla recomenda vivamente que todos os utilizadores do Firefox atualizem os seus navegadores para as versões mais recentes:
- Firefox 138.0.4
- Firefox ESR 128.10.1
- Firefox ESR 115.23.1
A competição Pwn2Own Berlim 2025 terminou no Sábado, com mais de um milhão de dólares (perto de 920.000 euros) distribuídos em prémios. A equipa STAR Labs SG foi a grande vencedora, conquistando o título de 'Master of Pwn'. Recorde-se que no ano anterior, no Pwn2Own Vancouver 2024, também foram demonstradas duas vulnerabilidades zero-day no Firefox, com a Mozilla a corrigi-las no dia seguinte.
Nenhum comentário
Seja o primeiro!