Mozilla publie une mise à jour de sécurité urgente pour son navigateur Firefox. Elle permet de combler deux vulnérabilités CVE-2025-4918 et CVE-2025-4919 permettant un accès hors limites en lecture ou en écriture sur des objets JavaScript.
Ces deux failles ont déjà été exploitées, mais dans le cadre du Pwn2Own qui vient d'avoir lieu à Berlin en Allemagne, en marge de la conférence OffensiveCon du 16 au 17 mai. Traditionnellement, ce célèbre concours de hacking se déroulait auparavant à Vancouver au Canada pour la CanSecWest.
Une rapidité exemplaire
Le comblement des vulnérabilités a été très rapide de la part de Mozilla, soit dès le 17 mai et le jour même de l'annonce du deuxième exploit.
À souligner qu'en vertu des règles du concours, il n'y a pas eu de divulgation publiquement pour le moment. Les différents éditeurs concernés sont dûment avertis et disposent du temps nécessaire afin d'élaborer et d'appliquer leurs correctifs.
Des attaques avec un impact limité
Dans un billet de blog, Mozilla souligne que les deux groupes de hackers ayant pris pour cible Firefox n'ont pas été en mesure de s'échapper de la protection sandbox, dont l'architecture a connu de récentes améliorations.
Par le passé, cette sécurité avait pu être contournée lors du Pwn2Own et pour prendre le contrôle d'un système entier.
Des failles qui restent critiques
Même s'il n'est pas question d'un bug de sécurité avec contournement de sandbox, le niveau de dangerosité critique est bel et bien associé aux vulnérabilités CVE-2025-4918 et CVE-2025-4919. Une mise à jour est donc recommandée dès que possible.
Les versions vulnérables sont antérieures à Firefox 138.0.4, Firefox ESR 128.10.1 ou Firefox ESR 115.23.1.