Mozilla heeft twee kritieke kwetsbaarheden in Firefox gedicht die tijdens hackwedstrijd Pwn2Own werden gedemonstreerd en roept gebruikers en beheerders op om zo snel mogelijk te updaten. Pwn2Own is een jaarlijks terugkerend evenement waarbij onderzoekers worden beloond voor het demonstreren van onbekende kwetsbaarheden in veelgebruikte producten en diensten.

Er zijn verschillende edities van het evenement, waarbij verschillende categorieën centraal staan. Tijdens Pwn2On Berlin kunnen onderzoekers uit verschillende categorieën kiezen, zoals browsers, containers, virtualisatiesoftware, zakelijke applicaties, serversoftware, besturingssystemen en een Tesla Model 3/Y. Van 15 tot en met 17 mei vond het evenement in Berlijn plaats.

Op 16 en 17 mei demonstreerden onderzoekers van securitybedrijf Palo Alto Networks en onderzoeker Manfred Paul twee verschillende aanvallen op de renderer van Firefox. "Geen van deze kwetsbaarheden kon uit onze sandbox breken, wat is vereist om controle over het systeem van de gebruiker te krijgen", aldus Mozilla. Wel kan een aanvaller via deze beveiligingslekken malafide code binnen de browser uitvoeren en zo bijvoorbeeld data van de gebruiker stelen.

Gisteren, op 17 mei, kwam Mozilla vervolgens met updates om beide problemen te verhelpen. "Ondanks de beperkte impact van deze aanvallen worden alle gebruikers en beheerders aangeraden om Firefox zo snel mogelijk te updaten", adviseert Mozilla. Gebruikers kunnen updaten naar Firefox ESR 115.23.1, Firefox ESR 128.10.1 of Firefox 138.0.4. De onderzoekers ontvingen voor hun aanval elk 50.000 dollar.