A Mozilla lançou atualizações emergenciais para o navegador Firefox após a descoberta e exploração de duas vulnerabilidades críticas durante a competição de hackers Pwn2Own Berlin 2025. As falhas, identificadas como CVE-2025-4918 e CVE-2025-4919, permitiam que atacantes acessassem regiões de memória não autorizadas, colocando em risco a segurança de milhões de usuários em todo o mundo. As correções já estão disponíveis nas versões 138.0.4 do Firefox para desktop e Android, além das versões 128.10.1 e 115.23.1 do Firefox ESR (Extended Support Release).
Falhas descobertas em ambiente controlado
As vulnerabilidades foram demonstradas por equipes de pesquisadores de segurança durante o Pwn2Own Berlin, um dos eventos mais renomados do mundo em pesquisa de segurança ofensiva. O evento, realizado anualmente, reúne especialistas para identificar e explorar falhas inéditas, conhecidas como zero-day, em softwares populares. Em 2025, o Firefox foi alvo de ataques bem-sucedidos que, embora não tenham conseguido escapar do sandbox do navegador, mostraram o potencial de comprometimento de dados sensíveis e execução de código malicioso.
Detalhes técnicos das vulnerabilidades
A primeira falha, CVE-2025-4918, envolvia um problema de leitura e gravação fora dos limites na engine JavaScript do Firefox, especificamente durante a resolução de objetos Promise — uma estrutura fundamental para o processamento assíncrono em aplicações web modernas. Essa vulnerabilidade foi descoberta pelos pesquisadores Edouard Bochin e Tao Yan, da Palo Alto Networks, que receberam US$ 50 mil pela demonstração do ataque.
Já a CVE-2025-4919, relatada por Manfred Paul, permitia que um invasor manipulasse o tamanho dos índices de arrays em objetos JavaScript, levando a acessos indevidos à memória. Assim como a primeira, essa falha também permitia leituras e gravações fora dos limites, o que pode resultar em vazamento de informações ou corrupção de memória — um vetor comum para ataques mais sofisticados, como execução remota de código.
Resposta rápida e reforço na segurança
A Mozilla foi ágil ao responder às descobertas, liberando atualizações de segurança poucas horas após o encerramento do Pwn2Own. Segundo comunicado oficial, uma força-tarefa global foi mobilizada para investigar as falhas, desenvolver e testar os patches, e garantir que os usuários recebessem as correções o mais rápido possível. A empresa ressaltou que, apesar da gravidade das vulnerabilidades, nenhuma delas conseguiu escapar do sandbox do Firefox, uma camada de proteção que isola processos e dificulta o comprometimento total do sistema.
“Diferentemente de anos anteriores, nenhum dos grupos participantes conseguiu escapar do nosso sandbox este ano”, destacou a Mozilla em nota oficial. A empresa atribui esse resultado às melhorias recentes na arquitetura de segurança do navegador, que têm dificultado ataques mais avançados.
Impacto e recomendações para usuários
Até o momento, não há indícios de que as falhas tenham sido exploradas fora do ambiente controlado do Pwn2Own. No entanto, como o conhecimento técnico sobre as vulnerabilidades foi tornado público durante a competição, existe o risco de que agentes mal-intencionados tentem replicar os ataques em ambientes reais. Por isso, a Mozilla e especialistas em segurança recomendam que todos os usuários atualizem imediatamente o Firefox para as versões corrigidas: 138.0.4 (desktop e Android), 128.10.1 (ESR) e 115.23.1 (ESR).
A atualização pode ser feita manualmente pelo menu “Ajuda > Sobre o Firefox” ou, em muitos casos, será aplicada automaticamente. Manter o navegador atualizado é fundamental para evitar riscos de exploração de falhas conhecidas.
Reconhecimento e transparência
Os pesquisadores responsáveis pelas descobertas foram recompensados financeiramente e reconhecidos pela comunidade de segurança. O Pwn2Own Berlin 2025 distribuiu mais de um milhão de dólares em prêmios para equipes que conseguiram demonstrar ataques inéditos em diversos softwares.
Nota de transparência: As informações desta matéria são baseadas em comunicados oficiais da Mozilla, relatórios do evento Pwn2Own Berlin 2025 e reportagens de veículos especializados como BleepingComputer, The Hacker News e Ghacks. Até o fechamento desta edição, não há registros oficiais de exploração das falhas fora do ambiente de testes do Pwn2Own. Recomenda-se que os usuários acompanhem atualizações futuras e mantenham seus sistemas sempre protegidos.
Você já atualizou seu Firefox? O que acha da resposta rápida da Mozilla diante dessas ameaças? Compartilhe sua opinião nos comentários e ajude a fortalecer a segurança digital!
Fontes utilizadas: Mozilla, BleepingComputer, The Hacker News, Ghacks, NHS England, CyberPress