Mozilla ได้ออกอัปเดตความปลอดภัยฉุกเฉินสำหรับ Firefox เพื่อแก้ไขช่องโหว่ Zero-Day ที่วิกฤติสองรายการซึ่งถูกสาธิตเมื่อเร็วๆ นี้ในการแข่งขัน Pwn2Own ที่เบอร์ลิน ช่องโหว่เหล่านี้ถูกใช้โจมตีในโลกจริงแล้ว ทำให้การอัปเดตครั้งนี้มีความเร่งด่วนเป็นพิเศษสำหรับผู้ใช้ Firefox ทุกคน
ช่องโหว่ที่วิกฤติ
ช่องโหว่ด้านความปลอดภัยทั้งสองรายการ ซึ่งถูกติดตามในชื่อ CVE-2025-4918 และ CVE-2025-4919 ถูกจัดอยู่ในประเภทช่องโหว่การเข้าถึงนอกขอบเขต (out-of-bounds access) ที่วิกฤติในเอนจินจาวาสคริปต์ของ Firefox ช่องโหว่แรกค้นพบโดย Edouard Bochin และ Tao Yan จาก Palo Alto Networks อนุญาตให้ผู้โจมตีสามารถอ่านหรือเขียนนอกขอบเขตบนวัตถุ JavaScript Promise ได้ ช่องโหว่ที่สองซึ่งระบุโดย Manfred Paul เปิดโอกาสให้มีการเข้าถึงนอกขอบเขตในลักษณะคล้ายกันเมื่อมีการปรับประสิทธิภาพผลรวมเชิงเส้น (linear sums) ซึ่งอาจทำให้ผู้โจมตีสามารถจัดการกับวัตถุ JavaScript โดยการสร้างความสับสนในขนาดดัชนีอาร์เรย์ได้
รายละเอียดช่องโหว่:
- CVE-2025-4918: ช่องโหว่การเข้าถึงนอกขอบเขตใน JavaScript engine ของ Firefox ที่ส่งผลกระทบต่อวัตถุ JavaScript Promise
- CVE-2025-4919: การเข้าถึงนอกขอบเขตเมื่อมีการเพิ่มประสิทธิภาพผลรวมเชิงเส้น
- ช่องโหว่ทั้งสองถูกจัดอันดับโดย Mozilla ว่ามีความเสี่ยง "วิกฤติ"
- การค้นพบช่องโหว่แต่ละรายการได้รับรางวัล 50,000 ดอลลาร์ในงาน Pwn2Own Berlin
ผลกระทบในโลกจริง
ช่องโหว่เหล่านี้น่ากังวลเป็นพิเศษเพราะต้องการการโต้ตอบจากผู้ใช้เพียงเล็กน้อย ผู้โจมตีอาจสามารถเรียกใช้โค้ดที่เป็นอันตรายได้เพียงแค่หลอกให้ผู้ใช้เข้าชมเว็บไซต์ที่ถูกโจมตี ช่องโหว่ทั้งสองถูกสาธิตสดในงานประชุม Pwn2Own ที่เบอร์ลิน โดยนักวิจัยแต่ละคนได้รับเงิน 50,000 ดอลลาร์สหรัฐ สำหรับการค้นพบของพวกเขา ลักษณะสาธารณะของการสาธิตเหล่านี้เพิ่มความเสี่ยงของการถูกใช้ประโยชน์อย่างแพร่หลาย เนื่องจากรายละเอียดทางเทคนิคตอนนี้มีให้กับผู้โจมตีที่อาจเกิดขึ้นได้
เวอร์ชันที่ได้รับผลกระทบ
การอัปเดตความปลอดภัยนี้แก้ไขช่องโหว่ในเวอร์ชันต่างๆ ของ Firefox รวมถึงเบราว์เซอร์ Firefox มาตรฐาน (เวอร์ชันก่อน 138.0.4), Firefox Extended Support Release (ESR) เวอร์ชันก่อน 128.10.1 และ 115.23.1 และ Firefox สำหรับ Android Mozilla ได้ดำเนินการอย่างรวดเร็วในการแก้ไขปัญหาเหล่านี้หลังจากที่พวกมันถูกเปิดเผยในการแข่งขันแฮ็กกิ้ง
เวอร์ชัน Firefox ที่ได้รับผลกระทบ:
- Firefox เวอร์ชันก่อน 138.0.4
- Firefox Extended Support Release (ESR) เวอร์ชันก่อน 128.10.1
- Firefox ESR เวอร์ชันก่อน 115.23.1
- Firefox สำหรับ Android
แง่บวกในสถาปัตยกรรมความปลอดภัยของ Firefox
แม้จะมีความรุนแรงของช่องโหว่เหล่านี้ Mozilla ระบุว่าไม่มีช่องโหว่ใดที่สามารถหลุดออกจาก sandbox ความปลอดภัยของ Firefox ได้ นี่เป็นขอบเขตความปลอดภัยที่สำคัญที่จำเป็นต้องถูกทำลายเพื่อให้ผู้โจมตีได้รับการควบคุมอย่างสมบูรณ์เหนืออุปกรณ์ของผู้ใช้ นี่แสดงถึงการปรับปรุงเมื่อเทียบกับการแข่งขัน Pwn2Own ก่อนหน้านี้ที่ sandbox ของ Firefox ถูกบุกรุกสำเร็จ
วิธีการอัปเดต
ขอแนะนำให้ผู้ใช้อัปเดตเบราว์เซอร์ Firefox ของตนทันที สามารถเข้าถึงการอัปเดตผ่านเมนู Firefox โดยเลือก Help และจากนั้น About Firefox บน Windows หรือโดยการเลือก About Firefox โดยตรงจากเมนู Firefox บน macOS เบราว์เซอร์จะตรวจสอบการอัปเดตโดยอัตโนมัติและแจ้งให้ผู้ใช้รีสตาร์ทหลังจากการอัปเดตถูกติดตั้ง
บริบทที่กว้างขึ้นของความปลอดภัยของเบราว์เซอร์
การอัปเดต Firefox นี้เกิดขึ้นท่ามกลางชุดของแพตช์ฉุกเฉินจากผู้พัฒนาเบราว์เซอร์รายใหญ่ Apple เพิ่งแก้ไขช่องโหว่ที่ถูกใช้ประโยชน์สองรายการ และ Google ออกแพตช์สำคัญสำหรับ Chrome รวมถึงช่องโหว่ที่มีความรุนแรงสูง (CVE-2025-4664) ซึ่งอนุญาตให้มีการยึดครองบัญชีอย่างสมบูรณ์ หน่วยงานความมั่นคงปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐฯ (CISA) ยืนยันว่าช่องโหว่ของ Chrome กำลังถูกใช้ในการโจมตีอย่างจริงจัง
ความสำคัญของการอัปเดตอย่างรวดเร็ว
ด้วยการโจมตีผ่านเบราว์เซอร์ที่มีความซับซ้อนมากขึ้น การอัปเดตซอฟต์แวร์จึงมีความสำคัญมากกว่าที่เคย ช่องโหว่ zero-day เหล่านี้เน้นย้ำเกมแมวจับหนูที่ดำเนินอยู่ระหว่างนักวิจัยด้านความปลอดภัยและผู้กระทำที่เป็นอันตราย การติดตั้งอัปเดตความปลอดภัยอย่างรวดเร็วช่วยให้ผู้ใช้สามารถลดความเสี่ยงในการตกเป็นเหยื่อของการโจมตีเหล่านี้ได้อย่างมีนัยสำคัญ