Mozilla heeft twee kritieke kwetsbaarheden in Firefox verholpen waardoor een aanvaller in het ergste geval systemen volledig kan overnemen wanneer er een malafide of gecompromitteerde website wordt bezocht of gebruikers een besmette advertentie te zien krijgen. De twee beveiligingslekken werden tijdens de Pwn2Own-wedstrijd getoond door onderzoeker Manfred Paul.

Pwn2Own is een jaarlijks terugkerende wedstrijd die onderzoekers beloont voor het demonstreren van onbekende kwetsbaarheden in populaire producten. Gedemonstreerde beveiligingslekken worden vervolgens aan de betreffende leverancier gemeld, zodat die het probleem kan verhelpen. Paul verdiende met zijn demonstratie van de Firefox-lekken op donderdag 100.000 dollar.

Gisteren kwam Mozilla al met een update. De browserleverancier reageert altijd zeer snel op kwetsbaarheden die tijdens Pwn2Own worden gedemonstreerd. Ook zijn er nu details bekendgemaakt, waaruit blijkt dat beide problemen zich voordoen bij het verwerken van JavaScript. Eén van de beveiligingslekken (CVE-2024-29944) is alleen in de desktopversie van Firefox aanwezig en niet in de mobiele versie. Gebruikers kunnen updaten via de automatische updatefunctie of Mozilla.org.

Naast Mozilla hebben ook de makers van Tor Browser een update uitgebracht, aangezien deze browser op Firefox is gebaseerd.