موزیلا به‌روزرسانی‌های امنیتی اضطراری برای رفع دو آسیب‌پذیری zero-day فایرفاکس منتشر کرد که در مسابقه هکینگ Pwn2Own Berlin 2025 نمایش داده شدند. این به‌روزرسانی‌ها شامل فایرفاکس دسکتاپ، اندروید و دو نسخه پشتیبانی توسعه‌یافته (ESR) بود و تنها ساعاتی پس از پایان مسابقه منتشر شد. آسیب‌پذیری اول (CVE-2025-4918) مربوط به مشکل خواندن/نوشتن خارج از محدوده در موتور جاوااسکریپت هنگام حل اشیاء Promise است که توسط محققان امنیتی پالو آلتو نتورکس کشف شد و 50,000 دلار جایزه دریافت کردند.

آسیب‌پذیری دوم (CVE-2025-4919) به مهاجمان اجازه انجام خواندن/نوشتن خارج از محدوده روی اشیاء جاوااسکریپت از طریق گیج کردن اندازه‌های ایندکس آرایه را می‌دهد که توسط محقق امنیتی منفرد پل کشف شد. موزیلا هر دو آسیب‌پذیری را “بحرانی” ارزیابی کرد اما تأکید کرد که هیچ‌یک از محققان نتوانستند از sandbox فرار کنند، که این موضوع را به بهبودهای معماری اخیر sandbox فایرفاکس نسبت داد. کاربران فایرفاکس توصیه می‌شوند به نسخه 138.0.4، ESR 128.10.1 یا ESR 115.23.1 ارتقا دهند.