A Mozilla lançou atualizações para corrigir uma falha crítica de segurança que afetava seu navegador Firefox para Windows, apenas dias depois de o Google ter corrigido uma falha semelhante no Chrome, que estava sendo explorada ativamente como um zero-day.
A vulnerabilidade de segurança,
CVE-2025-2857
, foi descrita como um caso de manipulação incorreta que poderia levar a uma fuga da sandbox.
"Após a recente fuga da sandbox do Chrome (CVE-2025-2783), vários desenvolvedores da Firefox identificaram um padrão semelhante em nosso código de IPC [comunicação entre processos]", disse a Mozilla em um comunicado.
Um processo filho comprometido poderia fazer com que o processo pai retornasse um handle poderoso de forma não intencional, levando a uma fuga da sandbox. O problema, que afeta o Firefox e o Firefox ESR, foi resolvido no Firefox 136.0.4, Firefox ESR 115.21.1 e Firefox ESR 128.8.1.
Não há evidências de que o
CVE-2025-2857
tenha sido explorado no ativo.
O desenvolvimento ocorre enquanto o Google lançou a versão 134.0.6998.177/.178 do Chrome para Windows para corrigir o CVE-2025-2783, que foi explorado no ativo como parte de ataques direcionados a meios de comunicação, instituições de ensino e organizações governamentais na Rússia.
A Kaspersky, que detectou a atividade em meados de março de 2025, disse que a infecção ocorreu após as vítimas não especificadas clicarem em um link especialmente criado em e-mails de phishing e o site controlado pelo atacante ser aberto usando o Chrome.
Diz-se que o CVE-2025-2783 foi encadeado junto com outro exploit desconhecido no navegador da web para sair dos limites da sandbox e realizar execução remota de código.
Dito isso, corrigir o bug bloqueia efetivamente toda a cadeia de ataque.
A Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) desde então adicionou a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), exigindo que as agências federais apliquem as mitigações necessárias até 17 de abril de 2025.
Recomenda-se que os usuários atualizem suas instâncias do navegador para as versões mais recentes para se protegerem contra riscos potenciais.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...