Firefox 应对 pwn2own 2025 的安全响应
作者:Frederik Braun
日期:2025年5月17日
在Mozilla,我们将安全视为网络的核心要素。这不仅体现在Firefox长期运行的漏洞赏金计划上,还体现在成熟的发布管理和安全工程实践中。这些实践与训练有素、才华横溢的Firefox团队相结合,也是我们能够快速响应安全漏洞的原因。本周在安全黑客竞赛pwn2own上,安全研究人员展示了两个针对Firefox的新内容进程漏洞。两次攻击均未能突破我们的沙箱(这是获取用户系统控制权的必要条件)。
出于充分谨慎,我们在第二个漏洞披露的当天就发布了新的Firefox版本。更新版本包括Firefox 138.0.4、Firefox ESR 128.10.1、Firefox ESR 115.23.1和Firefox for Android。尽管这些攻击的影响有限,仍建议所有用户和管理员尽快更新Firefox。
去年在同一安全活动中,我们在21小时内响应了一个可利用的安全漏洞,并因此获得最快修复奖。但今年很特殊:两名安全研究人员注册在pwn2own上攻击Firefox,而我们今年同样保持了快速的安全响应。
背景
Pwn2Own是一项年度计算机黑客竞赛,参与者旨在寻找浏览器等主流软件的安全漏洞。今年活动在德国柏林举行,许多流行软件被列为安全研究的目标。在活动准备阶段,我们获悉Firefox也被列为目标,但直到活动前一天才得知有两个团队注册展示其成果。
技术细节
通常,攻击浏览器需要多步骤利用:首先需攻破浏览器标签页以获取用户系统的有限控制权。但由于Firefox的强大安全架构,攻击者需要另一个漏洞(沙箱逃逸)才能突破当前标签页并获得更广泛的系统访问权限。与往年不同,今年参赛团队均未能逃逸我们的沙箱。口头确认表明,这归功于近期Firefox沙箱的架构改进,这些改进有效中和了大量此类攻击,进一步增强了Firefox的安全态势信心。
为审查和修复报告的漏洞,来自全球不同角色(工程、QA、发布管理、安全等)的团队紧急协作。我们快速测试并发布了支持所有平台、操作系统和配置的新版Firefox。
后续工作
我们的工作并未结束。我们将继续利用此类机会改进事件响应,并持续研究报告以识别新的加固特性和安全改进,保护全球Firefox用户。
相关资源
若想了解更多关于Mozilla安全计划或Firefox安全的信息,可参考以下资源:
此外,若想启动自己的Firefox安全研究,欢迎关注我们的深度技术博客:攻击与防御——Firefox安全内部机制(面向工程师、研究者和赏金猎人)。
浏览更快,浏览更自由。
下载Firefox