Firefox выпустил обновление в тот же день после двух незначительных уязвимостей, обнаруженных на Pwn2Own.

На ежегодном конкурне Pwn2Own в этом году два исследователя из Palo Alto Networks продемонстрировали уязвимость, связанную с ошибкой записи за пределами выделенной памяти, в браузере Mozilla Firefox. Об этом сообщает Cyber Security News, отметив, что исследователи получили вознаграждение в размере 50 000 долларов и 5 баллов Master of Pwn. На следующий день другой участник использовал переполнение целого числа для эксплуатации Mozilla Firefox (только рендерер).

Однако в блоге безопасности Mozilla напоминают пользователям, что для выхода за пределы изолированной вкладки и получения более широкого доступа к системе потребуется обход песочницы (sandbox). Это связано с надежной архитектурой безопасности Firefox, и ни одна из участвующих групп не смогла обойти песочницу.

Подтверждено, что это стало возможным благодаря недавним архитекрурным улучшениям песочницы Firefox, которые нейтрализовали широкий спектр подобных атак. Это укрепляет увереность в надежной защите Firefox.

Несмотря на то, что ни одна из атак не смогла выйти за пределы песочницы, из предосторожности Mozilla выпустила новые версии Firefox в тот же день, когда была объявлена вторая эксплуатация. В прошлом году Mozilla отреагировала на обнаруживаемую уязвимость в системе безопасности в течение 21 часа и даже получила награду за самое быстрое исправление.

Новые обновленные версии включают Firefox 138.0.4, Firefox ESR 128.10.1, Firefox ESR 115.23.1 и Firefox для Android. Несмотря на ограниченное влияние этих атак, всем пользователям и администраторам рекомендуется как можно скорее обновить Firefox.

Для анализа и устранения обнаруженных уязвимостей оперативно приступила к работе команда специалистов из разных стран и подразделений (инженерия, контроль качества, управление релизами, безопасность и другие). Была протестирована и выпущена новая версия Firefox для всех поддерживаемых платформ, операционных систем и конфигураций.

Работа на этом не заканчивается. Mozilla продолжает использовать подобные ситуации для улучшения реагирования на инциденты и будет изучать отчеты для выявления новых функций усиления безопасности и улучшений, чтобы обеспечить защиту всех пользователей Firefox по всему миру.