Mozilla ออกแพตซ์อัปเดตด้านความปลอดภัยเพื่อแก้ไขช่องโหว่ระดับ Critical 2 รายการ ในเบราว์เซอร์ของ Firefox ที่อาจถูกใช้ในการเข้าถึงข้อมูลสำคัญ หรือเรียกใช้โค้ดที่เป็นอันตรายบนระบบของเหยื่อได้

ช่องโหว่ทั้งสองรายการนี้ ถูกใช้ในการโจมตีแบบ Zero-Day ในงาน Pwn2Own Berlin โดยมีรายละเอียดดังนี้ :

CVE-2025-4918 – ช่องโหว่ Out-of-bounds access ขณะประมวลผล Promise objects ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript Promise object ได้
CVE-2025-4919 – ช่องโหว่ Out-of-bounds access ในขณะที่ทำการปรับปรุงประสิทธิภาพของ Optimizing linear sums ที่อาจทำให้ผู้โจมตีสามารถอ่าน หรือเขียนข้อมูลบน JavaScript object ได้ โดยการทำให้ Array index sizes เกิดความสับสน

การโจมตีที่ประสบความสำเร็จโดยอาศัยช่องโหว่ใดช่องโหว่หนึ่ง อาจทำให้ผู้ไม่หวังดีสามารถอ่าน หรือเขียนข้อมูล Out-of-bounds ของหน่วยความจำได้ ซึ่งสามารถนำไปใช้ในการเข้าถึงข้อมูลสำคัญที่ปกติไม่สามารถเข้าถึงได้ หรือทำให้เกิดการเสียหายของหน่วยความจำ (memory corruption) ที่อาจนำไปสู่การเรียกใช้โค้ดที่เป็นอันตรายบนระบบได้

ช่องโหว่ดังกล่าว ส่งผลกระทบต่อเบราว์เซอร์ Firefox ในเวอร์ชันดังต่อไปนี้ :

Firefox ทุกเวอร์ชันก่อนหน้า 138.0.4 (รวมถึง Firefox สำหรับ Android ด้วย)
Firefox Extended Support Release (ESR) ทุกเวอร์ชันก่อนหน้า 128.10.1
Firefox ESR ทุกเวอร์ชันก่อนหน้า 115.23.1

Edouard Bochin และ Tao Yan จากบริษัท Palo Alto Networks ได้รับเครดิตในการค้นพบ และรายงานช่องโหว่ CVE-2025-4918 ส่วนการค้นพบช่องโหว่ CVE-2025-4919 นั้นเป็นผลงานของ Manfred Paul

ช่องโหว่ทั้งสองรายการนี้ ได้ถูกนำมาสาธิตการโจมตีในงานแข่งแฮ็กเกอร์ Pwn2Own Berlin เมื่อสัปดาห์ที่ผ่านมา ซึ่งผู้ค้นพบช่องโหว่แต่ละคนจะได้รับเงินรางวัล 50,000 ดอลลาร์สหรัฐ

เนื่องจากเว็บเบราว์เซอร์ยังคงเป็นช่องทางยอดนิยมในการแพร่กระจายมัลแวร์ ผู้ใช้งานจึงควรอัปเดตเบราว์เซอร์ให้เป็นเวอร์ชันล่าสุด เพื่อป้องกันภัยคุกคามที่อาจเกิดขึ้นได้

Mozilla ระบุว่า “ไม่มีการโจมตีใดสามารถ break out ออกจาก sandbox ได้ ซึ่งเป็นสิ่งสำคัญในการควบคุมระบบของผู้ใช้ ถึงแม้ว่าผลกระทบจากการโจมตีครั้งนี้จะถูกจำกัด แต่ Mozilla ก็แนะนำให้ผู้ใช้งาน และผู้ดูแลระบบทุกคนให้ทำการอัปเดต Firefox โดยเร็วที่สุด"

ที่มา : thehackernews.