A Mozilla lançou atualizações de segurança para corrigir duas falhas críticas no navegador Firefox, ambas exploradas como zero-day durante o concurso de hacking Pwn2Own Berlin. Essas vulnerabilidades permitiam leitura ou escrita fora dos limites em objetos JavaScript, o que poderia resultar no acesso a informações sensíveis ou até mesmo na execução de código malicioso.

A falha identificada como CVE-2025-4918 envolvia um erro no tratamento de objetos Promise, possibilitando manipulações indevidas. Já a CVE-2025-4919 explorava uma falha ao otimizar somas lineares em arrays, o que permitia confundir o tamanho dos índices e comprometer a integridade de objetos JavaScript. As vulnerabilidades afetam todas as versões do Firefox anteriores à 138.0.4, assim como as versões ESR anteriores às 128.10.1 e 115.23.1. A Mozilla recomenda fortemente que os usuários atualizem seus navegadores o quanto antes para garantir a segurança de seus sistemas.

Os pesquisadores Edouard Bochin e Tao Yan, da Palo Alto Networks, foram os responsáveis por identificar a CVE-2025-4918. A descoberta da CVE-2025-4919 ficou a cargo de Manfred Paul. Ambos os casos foram apresentados com sucesso durante o evento Pwn2Own Berlin, rendendo US$ 50 mil a cada equipe. Com navegadores se mantendo como alvos frequentes de ataques cibernéticos, essa atualização reforça a importância de manter softwares sempre atualizados como forma de proteção contra ameaças cada vez mais sofisticadas.