深入幕后：修复野外Firefox漏洞

在Mozilla，浏览器安全是一项关键使命，其中重要的一环是快速响应新威胁。周二东部时间上午8点左右，我们收到防病毒公司ESET的预警，告知我们发现一个在野外被利用的Firefox漏洞。我们要特别感谢ESET与我们分享他们的发现——正是这样的协作让网络对每个人更加安全。

我们已经发布了针对此特定问题的修复程序，因此当Firefox提示您升级时，请点击该按钮。如果您不了解会话恢复功能，可以让Firefox在重启时恢复之前的会话。

ESET发送给我们的样本包含完整的漏洞利用链，允许在用户计算机上执行远程代码。在收到样本的一小时内，我们召集了安全、浏览器、编译器和平台工程师团队，对漏洞进行逆向工程，强制触发其有效载荷，并理解其工作原理。

在诸如pwn2own之类的漏洞利用竞赛中，我们会提前知道何时收到漏洞利用，可以提前召集团队，并收到漏洞和利用的详细说明。在2024年的pwn2own中，我们在21小时内发布了修复程序，这帮助我们获得了最快修补行业奖。这次，在没有提前通知且需要进行大量逆向工程的情况下，我们在25小时内发布了修复程序。（我们正在持续检查流程，以进一步缩短这个时间。）

虽然我们对快速响应这些威胁感到自豪，但这只是流程的一部分。尽管我们已经解决了Firefox中的漏洞，但我们的团队将继续分析该漏洞利用，寻找额外的强化措施，使针对Firefox的漏洞利用部署更加困难和罕见。同样重要的是要记住，这类漏洞利用并非Firefox独有。每个浏览器（和操作系统）都会不时面临安全挑战。这就是为什么保持软件全面更新至关重要。

一如既往，我们将继续做我们最擅长的事情——加强Firefox的安全性并改进其防御能力。