Các bản vá lỗi bao gồm Firefox trên máy tính để bàn, Android và 02 phiên bản Extended Support Releases (ESR) được phát hành chỉ vài giờ sau khi cuộc thi Pwn2Own Berlin 2025 kết thúc (thời điểm các lỗ hổng bị khai thác thành công).
Lỗ hổng đầu tiên, được gắn mã theo dõi CVE-2025-4918, là sự cố đọc/ghi ngoài giới hạn (out-of-bounds read/write) trong công cụ JavaScript khi xử lý các đối tượng Promise. Lỗ hổng này đã được các nhà nghiên cứu bảo mật Edouard Bochin và Tao Yan của hãng bảo mật Palo Alto Networks khai thác trong ngày thứ hai của cuộc thi. Với nỗ lực này, hai nhà nghiên cứu này đã nhận được 50.000 USD tiền thưởng.
Lỗ hổng thứ hai, được gắn mã theo dõi CVE-2025-4919, cho phép kẻ tấn công thực hiện các lệnh đọc/ghi ngoài giới hạn trên một đối tượng JavaScript. Nhà nghiên cứu bảo mật Manfred Paul đã phát hiện ra lỗ hổng bảo mật này và nhận được 50.000 USD tiền thưởng.
Mặc dù các lỗ hổng này gây ra rủi ro đáng kể cho Firefox, khi Mozilla đánh giá chúng là “nghiêm trọng” trong các bản tin của mình, nhưng nhà cung cấp phần mềm nhấn mạnh rằng không nhà nghiên cứu nào có thể thoát khỏi sandbox, điều này có thể do những cải tiến về mặt kiến trúc gần đây đối với sandbox Firefox, giúp ngăn chặn và vô hiệu hóa những hành vi tấn công như vậy.
Hiện tại, không có dấu hiệu nào cho thấy hai lỗ hổng trên đã bị khai thác bên ngoài cuộc thi Pwn2Own. Người dùng Firefox được khuyến nghị nâng cấp lên phiên bản 138.0.4, ESR 128.10.1 hoặc ESR 115.23.1.
Pwn2Own Berlin 2025 đã kết thúc vào vào ngày 17/5 với tổng giải thưởng lên tới hơn 1 triệu USD, đội STAR Labs SG đến từ Singapore đã giành được danh hiệu “Master or Pwn”. Trước đó, đã có hai lỗ hổng zero-day của Firefox bị khai thác vào năm ngoái tại cuộc thi Pwn2Own Vancouver 2024, Mozilla ngay sau đó đã khắc phục chúng bằng bản vá cập nhật bảo mật.