Firefox 136.0.4 устраняет критическую уязвимость обхода песочницы

Mozilla выпустила Firefox 136.0.4 для устранения критической уязвимости (CVE-2025-2857), позволяющей атакующим обойти песочницу браузера в Windows.

Что известно об уязвимости?​

• Ошибка связана с неправильной обработкой дескрипторов, что может привести к утечке привилегий из главного процесса браузера в дочерние.
• Уязвимость обнаружил разработчик Mozilla Эндрю МакКрайт.
• Затрагивает стандартную и ESR-версии (долгосрочная поддержка) Firefox.
• Исправлено в:
  • Firefox 136.0.4
  • Firefox ESR 115.21.1 и 128.8.1

Mozilla не раскрыла технических подробностей, но сравнила CVE-2025-2857 с недавним Chrome zero-day (CVE-2025-2783), который активно использовался хакерами.

"После исследования уязвимости CVE-2025-2783 в Chrome мы обнаружили аналогичную проблему в коде IPC Firefox. Атакующие могли запутать родительский процесс и заставить его утекать дескрипторы в дочерние процессы, что приводило к обходу песочницы."

Аналогичная уязвимость в Chrome использовалась в кибератаках​

Исследователи Kaspersky обнаружили, что CVE-2025-2783 в Chrome использовалась в кибершпионской кампании "Operation ForumTroll", направленной на:

• Госучреждения РФ
• Журналистов и СМИ

Злоумышленники рассылали фальшивые приглашения на форум "Примаковские чтения", заманивая жертв на зараженные сайты.

"CVE-2025-2783 озадачила нас: уязвимость позволяла атакующим обходить песочницу Chrome, не выполняя ничего явно вредоносного."

Предыдущие атаки на Firefox​

Mozilla уже сталкивалась с эксплойтами для обхода песочницы:

• Октябрь 2024 — уязвимость в анимациях (CVE-2024-9680) использовалась российской группой RomCom для выполнения кода в песочнице Firefox.
• Ранее в 2024 — две zero-day уязвимости были закрыты после их эксплуатации на Pwn2Own Vancouver.

Что делать пользователям?​

Обновить Firefox до версии 136.0.4 или ESR 115.21.1 / 128.8.1.
Не открывать подозрительные ссылки и вложения в письмах.
Использовать антивирус с функцией отслеживания аномальной активности.

Источник