【样本分享】Mozilla修复黑客大赛中被利用的Firefox零日漏洞

概要：

Mozilla近期发布紧急安全更新，修复了在Pwn2Own柏林2025黑客大赛中被展示的两个Firefox零日漏洞。这些漏洞的存在对用户安全构成了重大威胁，Mozilla对此给予了高度重视。

主要内容：

在Pwn2Own柏林2025黑客大赛中，安全研究人员展示了两个关键的Firefox零日漏洞，Mozilla随即发布了紧急修复补丁。第一个漏洞（CVE-2025-4918）是JavaScript引擎中的越界读/写问题，涉及Promise对象的解析。该漏洞由Palo Alto Networks的研究人员Edouard Bochin和Tao Yan发现，他们因此获得了5万美元的奖励。

第二个漏洞（CVE-2025-4919）允许攻击者通过混淆数组索引大小来执行越界读/写操作，研究人员Manfred Paul在程序的渲染器中获得了未授权访问，并赢得了同样的奖金。尽管这些漏洞被Mozilla评为“关键”，但公司强调，研究人员未能实现沙箱逃逸，表明其在安全架构上进行了有效的加强。

Mozilla组建了全球多元化的“工作组”，迅速开发和测试修复方案，以应对潜在的安全风险。虽然目前没有证据表明这些漏洞在Pwn2Own之外被利用，但其公开展示可能会引发后续的真实攻击。Firefox用户被建议尽快升级到最新版本，以确保安全。