德国场漏洞挖掘竞赛Pwn2Own Berlin 2025于5月15日至17日于德国首都柏林举行，参赛队伍总共找出28个零时差漏洞，得到超过100万美元的奖励，有软件开发团队接获通报后，迅速做出回应及修补漏洞。

Mozilla基金会于5月17日发布公告，针对上述竞赛找到的两项重大层级Firefox零时差漏洞，他们已登记为CVE-2025-4918、CVE-2025-4919列管，并发布电脑版、安卓版Firefox 138.0.4，以及长期支援版（ESR）128.10.1、115.23.1修补这项漏洞，呼吁使用者及IT人员应儘速套用相关更新。

根据CVSS风险评分，较危险的是CVE-2025-4919，攻击者可藉由混淆阵列索引的大小，对JavaScript物件进行越界读取或是写入，风险值为8.8；另一个漏洞CVE-2025-4918，也同样是能被用于越界读取或是写入，差别在于只能针对名为Promise的JavaScript物件利用，风险值为7.5。

虽然漏洞已经修补完成，但Mozilla表示，他们将继续研究人员通报的内容，来找出新的强化机制与安全机制改善措施，让Firefox用户能持续受到保护。

附带一提，针对这两项资安弱点的发现，Mozilla强调与过往Pwn2Own竞赛找到的零时差漏洞有所不同，指出这次的参赛者无法直接突破Firefox的沙箱防护机制，代表他们近期对于Firefox的沙箱架构改良有所成效。

为何沙箱机制是攻击者的主要标的？Mozilla指出，一般来说，攻击者要对浏览器下手，通常会先入侵浏览器的分页得到受害电脑有限的控制能力，基于Firefox的安全架构，攻击者需要搭配沙箱逃逸相关弱点才能进一步得到更多存取权限，因此沙箱防护便成为防守上相当重要的环节，他们也针对这方面做出改进。