「Pwn2Own Berlin 2025」の舞台で起こった衝撃のハッキング

先週末、ヨーロッパのハッキング大会「Pwn2Own Berlin 2025」が開催され、多くのセキュリティ研究者が集結しました。トレンドマイクロのゼロデイイニシアティブ（ZDI）が主催するこのイベントでは、様々なオペレーティングシステムやアプリケーションが攻撃対象となります。昨年はFirefoxも標的となりましたが、今年もその運命は変わらなかったのです！

結果は、再びFirefoxが狙われ、脆弱性の攻撃が成功しました。パロアルトネットワークスの研究者として知られるマンフレッド・ポール氏が、攻撃手法を駆使して、「メモリベース」や「電源」を利用した結果、見事に50,000ドルの報酬を獲得しました。

発見された脆弱性とは？

今回の攻撃には、CVE-2025-4920とCVE-2025-4921と呼ばれる二つの重要な脆弱性が関与していました。これらは、Promiseオブジェクトの解決時や線形サムの最適化中に、バウンズを超えてアクセスすることが可能になる致命的な問題です。

Mozillaは、これらの脆弱性に対処するため、今月中にパッチをリリースすると発表しています。「Firefox 138.0.4」や「Firefox ESR 128.10.1」など、最新のアップデートによって安全性を強化する方針です。

Firefoxの恐るべき運命…

今回のハッキング事件は、依然としてMozillaが直面するセキュリティ上の挑戦を浮き彫りにしました。Firefoxがターゲットとなることは知られていましたが、具体的な攻撃の詳細については、事前に明らかにされていませんでした。

2日間にわたって行われたこの大会では、Firefoxは再び2回も攻撃され、攻撃者による分析と対策が急務とされています。Mozillaの迅速な対応は、Firefoxの信頼性を維持するために必要不可欠ですが、果たして今後も安全を保ち続けられるのでしょうか？

今後の展開に注目です！