A Mozilla lançou atualizações para corrigir uma falha crítica de segurança que afetava seu navegador Firefox para Windows, apenas dias depois de o Google ter corrigido uma falha semelhante no Chrome, que estava sendo explorada ativamente como um zero-day.
A vulnerabilidade de segurança,
CVE-2025-2857
, foi descrita como um caso de manipulação incorreta que poderia levar a uma fuga da sandbox.
"Após a recente fuga da sandbox do Chrome (CVE-2025-2783), vários desenvolvedores da Firefox identificaram um padrão semelhante em nosso código de IPC [comunicação entre processos]", disse a Mozilla em um comunicado.
Um processo filho comprometido poderia fazer com que o processo pai retornasse um handle poderoso de forma não intencional, levando a uma fuga da sandbox. O problema, que afeta o Firefox e o Firefox ESR, foi resolvido no Firefox 136.0.4, Firefox ESR 115.21.1 e Firefox ESR 128.8.1.
Não há evidências de que o
CVE-2025-2857
tenha sido explorado no ativo.
O desenvolvimento ocorre enquanto o Google lançou a versão 134.0.6998.177/.178 do Chrome para Windows para corrigir o CVE-2025-2783, que foi explorado no ativo como parte de ataques direcionados a meios de comunicação, instituições de ensino e organizações governamentais na Rússia.
A Kaspersky, que detectou a atividade em meados de março de 2025, disse que a infecção ocorreu após as vítimas não especificadas clicarem em um link especialmente criado em e-mails de phishing e o site controlado pelo atacante ser aberto usando o Chrome.
Diz-se que o CVE-2025-2783 foi encadeado junto com outro exploit desconhecido no navegador da web para sair dos limites da sandbox e realizar execução remota de código.
Dito isso, corrigir o bug bloqueia efetivamente toda a cadeia de ataque.
A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) desde então adicionou a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as mitigações necessárias até 17 de abril de 2025.
Recomenda-se que os usuários atualizem suas instâncias do navegador para as versões mais recentes para se protegerem contra riscos potenciais.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...