Mozilla telah merilis pembaruan keamanan darurat untuk Firefox untuk mengatasi dua kerentanan zero-day kritis yang baru-baru ini didemonstrasikan pada kompetisi peretas Pwn2Own di Berlin. Kerentanan ini telah dieksploitasi dalam serangan dunia nyata, membuat pembaruan ini sangat mendesak bagi semua pengguna Firefox.
Kerentanan Kritis
Kedua celah keamanan, yang dilacak sebagai CVE-2025-4918 dan CVE-2025-4919, keduanya diklasifikasikan sebagai kerentanan akses di luar batas yang kritis dalam mesin JavaScript Firefox. Kerentanan pertama, yang ditemukan oleh Edouard Bochin dan Tao Yan dari Palo Alto Networks, memungkinkan penyerang untuk melakukan pembacaan atau penulisan di luar batas pada objek JavaScript Promise. Celah kedua, yang diidentifikasi oleh Manfred Paul, memungkinkan akses serupa di luar batas saat mengoptimalkan jumlah linear, berpotensi memungkinkan penyerang memanipulasi objek JavaScript dengan membingungkan ukuran indeks array.
Detail Kerentanan:
- CVE-2025-4918: Kelemahan akses di luar batas dalam mesin JavaScript Firefox yang mempengaruhi objek JavaScript Promise
- CVE-2025-4919: Akses di luar batas saat mengoptimalkan jumlah linear
- Kedua kerentanan dinilai "Kritis" oleh Mozilla
- Setiap penemuan kerentanan dianugerahi $50.000 di Pwn2Own Berlin
Implikasi Dunia Nyata
Kerentanan ini sangat mengkhawatirkan karena memerlukan interaksi pengguna yang minimal. Penyerang berpotensi mengeksekusi kode berbahaya hanya dengan menipu pengguna untuk mengunjungi situs web yang dikompromikan. Kedua celah tersebut didemonstrasikan secara langsung pada konferensi Pwn2Own Berlin, dengan masing-masing peneliti menerima 50.000 dolar untuk penemuan mereka. Sifat publik dari demonstrasi ini meningkatkan risiko eksploitasi luas, karena detail teknis sekarang tersedia bagi penyerang potensial.
Versi yang Terpengaruh
Pembaruan keamanan ini mengatasi kerentanan di beberapa versi Firefox termasuk browser Firefox standar (versi sebelum 138.0.4), versi Firefox Extended Support Release (ESR) sebelum 128.10.1 dan 115.23.1, dan Firefox untuk Android. Mozilla telah bergerak cepat untuk menambal masalah ini setelah terungkap pada kompetisi peretas.
Versi Firefox yang Terkena Dampak:
- Firefox sebelum versi 138.0.4
- Firefox Extended Support Release (ESR) sebelum versi 128.10.1
- Firefox ESR sebelum versi 115.23.1
- Firefox untuk Android
Sisi Positif dalam Arsitektur Keamanan Firefox
Meskipun celah ini parah, Mozilla mencatat bahwa tidak ada kerentanan yang berhasil menembus sandbox keamanan Firefox. Ini adalah batas keamanan penting yang perlu ditembus agar penyerang mendapatkan kendali penuh atas perangkat pengguna. Ini merupakan peningkatan dibandingkan kompetisi Pwn2Own sebelumnya di mana sandbox Firefox berhasil dikompromikan.
Cara Memperbarui
Pengguna sangat disarankan untuk segera memperbarui browser Firefox mereka. Pembaruan dapat diakses melalui menu Firefox dengan memilih Help dan kemudian About Firefox di Windows, atau dengan memilih About Firefox langsung dari menu Firefox di macOS. Browser akan secara otomatis memeriksa pembaruan dan meminta pengguna untuk memulai ulang setelah pembaruan diinstal.
Konteks Lebih Luas tentang Keamanan Browser
Pembaruan Firefox ini muncul di tengah serangkaian patch darurat dari pengembang browser utama. Apple baru-baru ini mengatasi dua kerentanan yang dieksploitasi, dan Google mengeluarkan patch kritis untuk Chrome, termasuk celah dengan tingkat keparahan tinggi (CVE-2025-4664) yang memungkinkan pengambilalihan akun secara penuh. Badan Keamanan Siber dan Infrastruktur AS (CISA) mengkonfirmasi bahwa kerentanan Chrome sedang aktif dieksploitasi dalam serangan.
Pentingnya Pembaruan Segera
Dengan serangan berbasis browser yang semakin canggih, menjaga perangkat lunak tetap diperbarui menjadi lebih penting dari sebelumnya. Kerentanan zero-day ini menyoroti permainan kucing-kucingan yang berkelanjutan antara peneliti keamanan dan aktor jahat. Dengan segera menginstal pembaruan keamanan, pengguna dapat secara signifikan mengurangi risiko menjadi korban eksploitasi ini.