谷歌修复了Chrome 零日漏洞 CVE-2025-2783,该漏洞被国家支持的攻击者利用,这促使 Firefox 开发人员检查该浏览器是否存在类似的漏洞——结果他们发现了。
目前没有迹象表明 Firefox 漏洞 (CVE-2025-2857) 正在被积极利用,但这并不奇怪:根据Statcounter 的数据,全球 66.3% 的互联网用户使用 Chrome,而使用 Firefox 的用户仅为 2.62%。
关于 CVE-2025-2857
卡巴斯基研究人员将 CVE-2025-2783 描述为“Google Chrome 沙盒与 Windows 操作系统交叉处的逻辑错误”,该错误是在 Chromium 的进程间通信 (IPC) 框架 Mojo 中发现的。
CVE-2025-2857 同样是在 Firefox 的 IPC 代码中发现的,它允许受感染的子进程使父进程“返回意外的强大句柄,从而导致沙盒逃逸”。
Mozilla 已修复适用于 Windows 的 Firefox v136.0.4、Firefox 扩展支持版本 (ESR) v128.8.1 和 Firefox ESR v115.21.1 中的 CVE-2025-2857。此外,由于 Tor 浏览器是基于 Firefox ESR 的修改版本构建的,因此 Tor 项目还为 Windows 用户发布了紧急安全更新 (v14.0.8),并建议他们立即更新。
Opera 浏览器开发人员已经反向移植了CVE-2025-2783 的安全补丁。
与 Opera、Microsoft Edge 一样,Brave 和 Vivaldi 浏览器也基于 Chromium 代码,并且很可能很快就会收到 CVE-2025-2783 的补丁。
卡巴斯基研究人员表示,CVE-2025-2783 最初让他们感到困惑:“它没有做任何明显恶意或被禁止的事情,却允许攻击者绕过 Google Chrome 的沙盒保护,就好像它根本不存在一样。”
他们还指出,CVE-2025-2783 与另一个漏洞一起被利用,该漏洞允许攻击者实现远程代码执行,但这个漏洞目前仍是一个谜。研究人员承诺发布一份详细的报告,其中包含有关 CVE-2025-2783 漏洞、恶意软件和攻击者使用的技术细节。