Firefox 安全团队快速响应 Pwn2Own 2025 漏洞挑战

本文详细介绍了Mozilla Firefox安全团队在Pwn2Own 2025黑客大赛中应对两个内容进程漏洞的快速响应过程。文章阐述了Firefox的安全架构改进如何成功阻止沙箱逃逸攻击,并说明了团队在24小时内完成漏洞修复和版本发布的完整应急响应流程。

Firefox 安全响应 Pwn2Own 2025

Frederik Braun
2025年5月17日

在Mozilla,我们将安全视为网络的重要基石。这不仅体现在Firefox长期运行的漏洞赏金计划上,还体现在成熟的发布管理和安全工程实践。这些实践与训练有素、才华横溢的Firefox团队相结合,也是我们能够快速响应安全漏洞的原因。本周在安全黑客竞赛Pwn2Own上,安全研究人员演示了两个针对Firefox的新内容进程漏洞。这两次攻击均未能突破我们的沙箱,而这是获取用户系统控制权的必要步骤。

出于充分谨慎考虑,我们在第二个漏洞公布当天就发布了新的Firefox版本进行响应。更新版本包括Firefox 138.0.4、Firefox ESR 128.10.1、Firefox ESR 115.23.1和Firefox安卓版。尽管这些攻击影响有限,仍建议所有用户和管理员尽快更新Firefox。

就在去年同一安全赛事中,我们在21小时内响应了一个可利用的安全漏洞,并因此获得最快补丁奖。但今年特别的是,有两名安全研究人员报名在pwn2own上攻击Firefox。我们今年继续保持同样的快速安全响应。

背景介绍

Pwn2Own是一项年度计算机黑客竞赛,参赛者旨在发现浏览器等主要软件的安全漏洞。今年该活动在德国柏林举行,许多流行软件被列为安全研究的潜在目标。作为活动准备的一部分,我们获悉Firefox也被列为目标。但直到活动前一天,我们才得知有两个团队报名演示他们的研究成果。

通常,攻击浏览器需要多步骤利用。首先需要入侵浏览器标签页以获取用户系统的有限控制权。但由于Firefox强大的安全架构,还需要另一个漏洞(沙箱逃逸)才能突破当前标签页获得更广泛的系统访问。与往年不同,今年两个参赛团队都未能逃脱我们的沙箱。我们获得口头确认,这归功于最近对Firefox沙箱的架构改进,这些改进有效遏制了大量此类攻击。这进一步增强了我们对Firefox强大安全态势的信心。

为了审查和修复报告的漏洞,来自全球各地不同角色(工程、QA、发布管理、安全等)的团队成员紧急投入工作。我们快速测试并发布了支持所有平台、操作系统和配置的新版Firefox。

我们的工作并未就此结束。我们将继续利用此类机会改进事件响应。同时将持续研究报告内容,以确定新的加固特性和安全改进措施,保护全球所有Firefox用户。

相关资源

如果您想了解更多关于Mozilla安全计划或Firefox安全的信息,以下资源可供参考:

  • Mozilla安全中心
  • Mozilla安全博客
  • 漏洞赏金计划

此外,如果您想开始自己的Firefox安全研究,欢迎关注我们的深度技术博客《攻击与防御——Firefox安全内部解析(面向工程师、研究人员和赏金猎人)》。

更新 - 2025年8月7日

我们很高兴分享,Mozilla获得零日倡议(ZDI)颁发的Vanguard"速通者"奖项,以表彰我们在过去20年零日倡议pwn2own活动中持续快速的响应表现。

为表彰在pwn2own期间出色的安全响应,授予Mozilla Firefox的"速通者"奖杯。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次