Mozilla выпустила обновление Firefox 136.0.4, устраняющее критическую уязвимость безопасности, позволяющую злоумышленникам обойти механизм песочницы браузера в Windows.
Уязвимость отслеживается под идентификатором CVE-2025-2857 и описывается как «неправильная работа с дескриптором, которая может привести к выходу из песочницы». Обнаружил и сообщил об ошибке разработчик Mozilla — Эндрю МакКрейт (Andrew McCreight).
Проблема затрагивает как обычную версию Firefox, так и расширенную версию с длительной поддержкой (ESR), предназначенную для организаций, которым необходима стабильность при массовом развертывании. Уязвимость устранена в Firefox 136.0.4, Firefox ESR 115.21.1 и Firefox ESR 128.8.1.
Хотя технические детали CVE-2025-2857 пока не раскрываются, Mozilla отмечает, что данная проблема напоминает недавнюю уязвимость нулевого дня в Chrome, которая уже использовалась в атаках и была исправлена Google ранее на этой неделе.
Mozilla сообщает:
После обнаружения обхода песочницы в CVE-2025-2783, несколько разработчиков Firefox заметили схожую уязвимость в нашем IPC-коде. Злоумышленники могли запутать родительский процесс, чтобы он передал дескрипторы дочерним процессам с пониженными привилегиями, что приводило к выходу из песочницы.
Первоначальная уязвимость уже использовалась в реальных атаках. Проблема затрагивает только Firefox для Windows — другие операционные системы не подвержены проблеме.
Аналогичная уязвимость нулевого дня в Chrome использовался для атак в России
Исследователи из «Лаборатории Касперского» — Борис Ларин и Игорь Кузнецов, обнаружившие уязвимость CVE-2025-2783, сообщили, что она активно использовалась для обхода песочницы Chrome и заражения жертв сложным вредоносным ПО.
Эксплойты использовались в рамках шпионской кампании под названием Operation ForumTroll, нацеленной на российские госструктуры и журналистов из неназванных СМИ.
Исследователи отметили:
Уязвимость CVE-2025-2783 поставила нас в тупик: не делая ничего явно вредоносного, атакующие могли обойти защиту песочницы Chrome, будто ее и не существовало.
Вредоносные письма содержали якобы приглашения от организаторов научно-экспертного форума «Примаковские чтения», и были направлены в адрес СМИ, вузов и госорганизаций в России.
История уязвимостей в Firefox
В октябре 2024 года Mozilla также устранила уязвимость нулевого дня CVE-2024-9680 в функции анимации Firefox, которой воспользовалась хакерская группа RomCom из России. Уязвимость позволяла выполнить произвольный код внутри песочницы браузера.
Эксплойт объединяли с еще одной уязвимостью нулевого дня Windows (CVE-2024-49039), что позволяло выполнять код уже вне песочницы. Жертвы переходили по ссылке на сайт злоумышленников, где автоматически загружался и запускался бэкдор RomCom.
Ранее в 2024 году Mozilla также устранила две уязвимости нулевого дня в Firefox всего через день после демонстрации эксплуатации на конкурсе Pwn2Own Vancouver 2024.
Угрозы безопасности
• Атака «Фишинг как услуга» использует DNS-over-HTTPS для обхода обнаружения
• Mozilla предупреждает о критической уязвимости обхода песочницы в Firefox для Windows
• Популярные расширения Chrome взломали. Как защитить себя?
• Keenetic подтвердила взлом приложения для управления роутерами: Утекли данные более миллиона пользователей, большинство – из России
• Apple исправляет уязвимость «нулевого дня» в iOS 18.3.2, iPadOS 18.3.2 и macOS Sequoia 15.3.2
• Microsoft: Вредоносная атака заразила миллион Windows ПК через пиратские сайты и репозитории на GitHub