- Автор темы
- #1
Разработчики Mozilla выпустили срочные обновления для Firefox, которые устраняют две уязвимости нулевого дня, продемонстрированные в рамках завершившегося на днях хакерского соревнования Pwn2Own Berlin.
Патчи для десктопной и Android-версии Firefox, а также для двух Extended Support Release (ESR) появились спустя всего несколько часов после завершения Pwn2Own в минувшие выходные.
Первая уязвимость, зарегистрированная под идентификатором CVE-2025-4918, представляет собой проблему out-of-bounds чтения/записи, возникающую при разрешении объектов Promise в движке JavaScript.
Баг был продемонстрирован на второй день конкурса специалистами из команды Palo Alto Networks. Обнаружение и эксплуатация этого недостатка принесли команде 50 000 долларов.
Вторая уязвимость, CVE-2025-4919, позволяет атакующим выполнять out-of-bounds чтение и запись в объекте JavaScript за счет путаницы в определении границ массива.
Уязвимость обнаружил ИБ-исследователь Мэнфред Пол (Manfred Paul), которому в итоге удалось получить несанкционированный доступ к рендереру программы, что принесло ему 50 000 долларов.
Несмотря на то, что обе уязвимости оцениваются как критические, в Mozilla подчеркивают, что ни один из исследователей не смог сбежать из песочницы, благодаря ранее внедренным защитным мерам.
Теперь пользователям Firefox рекомендуется как можно скорее обновиться до версий 138.0.4, ESR 128.10.1 или ESR 115.23.1.
Теги:0dayFirefoxMozillaPwn2OwnНовостиПатчиУязвимостиЭксплоиты
Подписаться
авторизуйтесь
Пожалуйста, войдите, чтобы прокомментировать
0 комментариев
Новости
Мария Нефёдова
30 минут назад
Комментарии
294
Рекомендуем почитать:
Исходный код партнерской панели RaaS-малвари (ransomware-as-a-service, «вымогатель как услуга») VanHelsing был опубликован в открытом доступе. Незадолго до этого бывший разработчик попытался продать исходники на хак-форуме RAMP.
Вымогатель VanHelsing был запущен в марте 2025 года и его создатели заявляли, что он способен атаковать системы на базе Windows, Linux, BSD, ARM и ESXi. По данным Ransomware.live, с тех пор от атак вымогателя пострадали не менее восьми жертв.
Ранее на этой неделе некто под ником th30c0der попытался продать в даркнете исходный код партнерской панели и сайтов VanHelsing, а также сборки шифровальщиков для Windows и Linux. Цену предлагалось определить на аукционе со стартовой ставкой 10 000 долларов.
Журналисты издания Bleeping Computer изучили опубликованные исходники и подтвердили, что те содержат настоящий билдер для Windows-версии малвари, а также исходный код для партнерской панели и сайта для «слива» данных.
По словам исследователей, в исходном коде билдера царит беспорядок, а файлы Visual Studio размещены в папке Release, которая обычно используется для хранения скомпилированных бинарников и артефактов сборки.
Также отмечается, что использование билдера VanHelsing требует некоторой дополнительной работы, так как он подключается к партнерской панели по адресу 31.222.238[.]208 для получения данных. Учитывая, что дамп содержит исходный код панели, где находится эндпоинт api.php, злоумышленники могут изменить код или запустить собственную версию панели, чтобы заставить билдер работать.
Кроме того, в опубликованном архиве содержится исходный код шифровальщика для Windows, который может использоваться для создания автономной сборки, расшифровщика и загрузчика.
Помимо прочего издание отмечает, что злоумышленники, судя по всему, пытались создать блокировщик MBR, который подменял бы главную загрузочную запись кастомным загрузчиком, показывающим сообщение о блокировке.
Патчи для десктопной и Android-версии Firefox, а также для двух Extended Support Release (ESR) появились спустя всего несколько часов после завершения Pwn2Own в минувшие выходные.
Первая уязвимость, зарегистрированная под идентификатором CVE-2025-4918, представляет собой проблему out-of-bounds чтения/записи, возникающую при разрешении объектов Promise в движке JavaScript.
Баг был продемонстрирован на второй день конкурса специалистами из команды Palo Alto Networks. Обнаружение и эксплуатация этого недостатка принесли команде 50 000 долларов.
Вторая уязвимость, CVE-2025-4919, позволяет атакующим выполнять out-of-bounds чтение и запись в объекте JavaScript за счет путаницы в определении границ массива.
Уязвимость обнаружил ИБ-исследователь Мэнфред Пол (Manfred Paul), которому в итоге удалось получить несанкционированный доступ к рендереру программы, что принесло ему 50 000 долларов.
Несмотря на то, что обе уязвимости оцениваются как критические, в Mozilla подчеркивают, что ни один из исследователей не смог сбежать из песочницы, благодаря ранее внедренным защитным мерам.
Хотя пока не было обнаружено никаких признаков того, что уязвимости использовались где-то кроме Pwn2Own, их публичная демонстрация могла послужить толчком к реальным атакам. Чтобы снизить риски, Mozilla привлекла к созданию патчей многопрофильную «оперативную группу», в которую вошли специалисты со всего мира. Эксперты приложили все усилия для создания исправлений, а также провели тестирование и выпустили обновления в кратчайшие сроки.
Теперь пользователям Firefox рекомендуется как можно скорее обновиться до версий 138.0.4, ESR 128.10.1 или ESR 115.23.1.
Теги:0dayFirefoxMozillaPwn2OwnНовостиПатчиУязвимостиЭксплоиты
-
Подпишись на наc в Telegram!
Только важные новости и лучшие статьи
Подписаться
Подписаться
авторизуйтесь
Пожалуйста, войдите, чтобы прокомментировать
0 комментариев
Новости
В сеть попал билдер вымогательской малвари VanHelsing
Мария Нефёдова
30 минут назад
Комментарии
294
Рекомендуем почитать:
Хакер #312. Minecraft по-хакерски
Исходный код партнерской панели RaaS-малвари (ransomware-as-a-service, «вымогатель как услуга») VanHelsing был опубликован в открытом доступе. Незадолго до этого бывший разработчик попытался продать исходники на хак-форуме RAMP.
Вымогатель VanHelsing был запущен в марте 2025 года и его создатели заявляли, что он способен атаковать системы на базе Windows, Linux, BSD, ARM и ESXi. По данным Ransomware.live, с тех пор от атак вымогателя пострадали не менее восьми жертв.
Ранее на этой неделе некто под ником th30c0der попытался продать в даркнете исходный код партнерской панели и сайтов VanHelsing, а также сборки шифровальщиков для Windows и Linux. Цену предлагалось определить на аукционе со стартовой ставкой 10 000 долларов.
Оданко, как сообщил ИБ-исследователь Эмануэль Де Люсия (Emanuele De Lucia), операторы VanHelsing решили опередить продавца, и сами обнародовали исходный код вымогателя. Также они заявили, что th30c0der — это один из их бывших разработчиков малвари, пытающийся обмануть людей и продать старые исходники.
В ответ на это th30c0der заявил, что его информация более полная, так как разработчики VanHelsing не опубликовали Linux-билдер и какие-либо БД, что могло бы особенно пригодиться правоохранительным органам и ИБ-исследователям.
Журналисты издания Bleeping Computer изучили опубликованные исходники и подтвердили, что те содержат настоящий билдер для Windows-версии малвари, а также исходный код для партнерской панели и сайта для «слива» данных.
По словам исследователей, в исходном коде билдера царит беспорядок, а файлы Visual Studio размещены в папке Release, которая обычно используется для хранения скомпилированных бинарников и артефактов сборки.
Также отмечается, что использование билдера VanHelsing требует некоторой дополнительной работы, так как он подключается к партнерской панели по адресу 31.222.238[.]208 для получения данных. Учитывая, что дамп содержит исходный код панели, где находится эндпоинт api.php, злоумышленники могут изменить код или запустить собственную версию панели, чтобы заставить билдер работать.
Кроме того, в опубликованном архиве содержится исходный код шифровальщика для Windows, который может использоваться для создания автономной сборки, расшифровщика и загрузчика.
Помимо прочего издание отмечает, что злоумышленники, судя по всему, пытались создать блокировщик MBR, который подменял бы главную загрузочную запись кастомным загрузчиком, показывающим сообщение о блокировке.