Mozilla выпустила обновление Firefox 136.0.4, устраняющее критическую уязвимость безопасности, позволяющую злоумышленникам обойти механизм песочницы браузера в Windows.
Уязвимость отслеживается под идентификатором CVE-2025-2857 и описывается как «неправильная работа с дескриптором, которая может привести к выходу из песочницы». Обнаружил и сообщил об ошибке разработчик Mozilla — Эндрю МакКрейт (Andrew McCreight).
Проблема затрагивает как обычную версию Firefox, так и расширенную версию с длительной поддержкой (ESR), предназначенную для организаций, которым необходима стабильность при массовом развертывании. Уязвимость устранена в Firefox 136.0.4, Firefox ESR 115.21.1 и Firefox ESR 128.8.1.
Хотя технические детали CVE-2025-2857 пока не раскрываются, Mozilla отмечает, что данная проблема напоминает недавнюю уязвимость нулевого дня в Chrome, которая уже использовалась в атаках и была исправлена Google ранее на этой неделе.
Mozilla сообщает:
После обнаружения обхода песочницы в CVE-2025-2783, несколько разработчиков Firefox заметили схожую уязвимость в нашем IPC-коде. Злоумышленники могли запутать родительский процесс, чтобы он передал дескрипторы дочерним процессам с пониженными привилегиями, что приводило к выходу из песочницы.
Первоначальная уязвимость уже использовалась в реальных атаках. Проблема затрагивает только Firefox для Windows — другие операционные системы не подвержены проблеме.
Аналогичная уязвимость нулевого дня в Chrome использовался для атак в России
Исследователи из «Лаборатории Касперского» — Борис Ларин и Игорь Кузнецов, обнаружившие уязвимость CVE-2025-2783, сообщили, что она активно использовалась для обхода песочницы Chrome и заражения жертв сложным вредоносным ПО.
Эксплойты использовались в рамках шпионской кампании под названием Operation ForumTroll, нацеленной на российские госструктуры и журналистов из неназванных СМИ.
Исследователи отметили:
Уязвимость CVE-2025-2783 поставила нас в тупик: не делая ничего явно вредоносного, атакующие могли обойти защиту песочницы Chrome, будто ее и не существовало.
Вредоносные письма содержали якобы приглашения от организаторов научно-экспертного форума «Примаковские чтения», и были направлены в адрес СМИ, вузов и госорганизаций в России.
История уязвимостей в Firefox
В октябре 2024 года Mozilla также устранила уязвимость нулевого дня CVE-2024-9680 в функции анимации Firefox, которой воспользовалась хакерская группа RomCom из России. Уязвимость позволяла выполнить произвольный код внутри песочницы браузера.
Эксплойт объединяли с еще одной уязвимостью нулевого дня Windows (CVE-2024-49039), что позволяло выполнять код уже вне песочницы. Жертвы переходили по ссылке на сайт злоумышленников, где автоматически загружался и запускался бэкдор RomCom.
Ранее в 2024 году Mozilla также устранила две уязвимости нулевого дня в Firefox всего через день после демонстрации эксплуатации на конкурсе Pwn2Own Vancouver 2024.
Угрозы безопасности
• Cloudflare отражает рекордное число DDoS-атак в 2025 году
• Уязвимость в Linux-интерфейсе io_uring позволяет скрытым руткитам обходить защиту
• Французские власти снова пытаются получить доступ к сообщениям в Telegram
• Опасный вирус SuperCard X ворует данные карт через NFC на Android, обходя защиту антивирусов
• Расширения Chrome с 6 миллионами установок содержат скрытый код отслеживания
• Apple устранила две уязвимости нулевого дня, которые использовались в атаках на iPhone