A Mozilla lançou uma atualização de segurança de emergência para o navegador Firefox, após a descoberta de duas falhas graves que foram exploradas publicamente durante o evento de cibersegurança Pwn2Own Berlin 2025. As vulnerabilidades afetam tanto as versões do navegador para desktop quanto para Android, além das edições com suporte estendido (ESR).
A primeira falha, catalogada como CVE-2025-4918, envolve uma leitura e escrita fora dos limites no motor JavaScript, que ocorre durante o processamento de objetos do tipo Promise. Essa brecha foi demonstrada com sucesso por Edouard Bochin e Tao Yan, da Palo Alto Networks, que receberam uma recompensa de US$ 50.000 (cerca de R$ 282,00) por sua contribuição.
A segunda vulnerabilidade, identificada como CVE-2025-4919, permite que atacantes manipulem objetos JavaScript ao confundir tamanhos de índices de arrays, abrindo caminho para leituras e gravações indevidas na memória. O responsável pela demonstração dessa falha foi o pesquisador Manfred Paul, que também recebeu US$ 50.000 após invadir o componente de renderização do navegador.
Firefox recebe atualização urgente após descoberta de falhas críticas no Pwn2Own 2025
Apesar da gravidade das falhas, a Mozilla afirmou que nenhuma delas resultou em escape da sandbox do Firefox — um mecanismo de segurança que isola processos para impedir acessos indevidos ao sistema. Segundo o comunicado oficial, isso se deve às melhorias recentes implementadas na arquitetura do navegador, que fortaleceram significativamente sua proteção contra esse tipo de ataque.
“Diferente dos anos anteriores, nenhuma equipe participante conseguiu escapar da sandbox, graças às melhorias arquitetônicas aplicadas nos últimos meses”, destacou a Mozilla.
Embora, até o momento, não haja relatos de exploração ativa dessas vulnerabilidades fora do ambiente controlado do evento, a demonstração pública aumenta o risco de que cibercriminosos tentem replicar os ataques no mundo real. Por isso, a Mozilla rapidamente mobilizou uma equipe técnica global para desenvolver, testar e distribuir atualizações que neutralizem essas ameaças.
A recomendação para os usuários é que atualizem imediatamente para as versões Firefox 138.0.4, ESR 128.10.1 ou ESR 115.23.1, garantindo máxima proteção contra possíveis explorações.
O Pwn2Own Berlin 2025 foi encerrado no último sábado, distribuindo mais de US$ 1 milhão (cerca de R$ 5,6 mi) em prêmios aos pesquisadores participantes. A equipe STAR Labs SG foi coroada com o título de “Master of Pwn”, reconhecida como a mais bem-sucedida do evento. Assim como no ano anterior — quando falhas no Firefox foram expostas no Pwn2Own Vancouver 2024 —, a Mozilla novamente demonstrou agilidade ao corrigir vulnerabilidades em tempo recorde.
