Pada tanggal 19 Mei 2025, Mozilla merilis pembaruan mendesak untuk Firefox versi 138.0.4, yang mengatasi dua kerentanan keamanan kritis yang berhasil dieksploitasi selama kompetisi peretasan Pwn2Own Berlin 2025. Kerentanan ini, yang dilacak sebagai CVE-2025-4918 dan CVE-2025-4919, berdampak pada versi standar dan Extended Support Release (ESR) dari browser.
Kerentanan ini terungkap setelah para peneliti keamanan menunjukkan eksploitasi yang berhasil terhadap Firefox di Pwn2Own Berlin 2025. Meskipun eksploitasi tidak berhasil melampaui fitur keamanan sandbox Firefox, kerentanan ini cukup serius untuk memerlukan tindakan cepat dari tim keamanan Mozilla.
CVE-2025-4918: Akses di Luar Batas pada Objek Janji JavaScript
CVE-2025-4919: Akses di Luar Batas melalui Kebingungan Indeks Array
Kedua kerentanan ini mendapat peringkat "kritis", yang merupakan tingkat keparahan tertinggi yang diberikan oleh Mozilla. Meskipun sandbox mencegah eksploitasi mencapai kompromi sistem penuh, eksploitasi yang berhasil dapat memungkinkan penyerang untuk mengeksekusi kode arbitrer dalam konteks browser dan mencuri data sensitif.
Mozilla menyarankan semua pengguna untuk segera memperbarui Firefox. Pembaruan biasanya dilakukan secara otomatis, tetapi pengguna dapat memicu pembaruan secara manual melalui Menu > Bantuan > Tentang Firefox.
Pembaruan cepat Mozilla menunjukkan pentingnya pembaruan keamanan yang tepat waktu dalam menghadapi eksploitasi aktif. Program manajemen rilis dan bug bounty yang matang memungkinkan respons cepat terhadap ancaman kritis.