Ulrich Bantle - 2025. május 20.

A Mozilla Firefox böngészőjében két biztonsági rést fedeztek fel , amelyeket a támadók kihasználhatnak rosszindulatú kód injektálására.

A sebezhetőségek a böngésző különböző verzióit érintik. A Firefox, a Firefox for Android és a Firefox ESR is érintett. A Mozilla mindkét biztonsági problémát (CVE-2025-4918 és CVE-2025-4919) kritikusnak minősíti. A böngésző frissítések megoldják a problémákat. A Firefox 138.0.4, a Firefox Android 138.0.4, a Firefox ESR 115.23.1 és a Firefox ESR 128.10.1 verziók tartalmaznak frissítéseket.

Mindkét probléma a JavaScript feldolgozásával kapcsolatos. A CVE-2025-4918 esetén a támadó a JavaScript Promise objektumot a megengedett határokon kívül olvashatta vagy írhatta. A közlemény szerint a CVE-2025-4919-es biztonsági rést alkalmazó támadó a tömbindexek méretének összekeverésével a JavaScript objektumok határokon túli olvasását vagy írását végezhette el.