继有报道称黑客利用 Chrome 的危险零日漏洞后,Mozilla 发布了类似的修复程序。Tor 敦促用户“立即”更新。
高度老练的黑客已经利用 Chrome 的零日漏洞攻击俄罗斯媒体、教育和其他组织。
这个漏洞被标记为 CVE-2025-2783,它允许黑客突破浏览器的沙盒(浏览器内的隔离环境,将活动与计算机的其余部分分开)。
在 Chrome 发布补丁后,Mozilla 发布了紧急更新,称多名开发人员在 Firefox 的 IPC(进程间通信)代码中发现了类似的模式。
Mozilla 在一份公告中表示:“受感染的子进程可能导致父进程返回一个意外的强大句柄,从而导致沙盒逃逸。最初的漏洞正在被野外利用。这只会影响 Windows 上的 Firefox。其他操作系统不受影响。”
该漏洞的严重程度非常高。受影响的 Firefox 版本低于 136.0.4,易受攻击的 Firefox ESR 版本低于 115.21.1 和 128.8.1。
Tor 是一款专为隐私和匿名而设计的浏览器,它也发布了适用于 Windows 的紧急版本,并指出“需要为 Windows 版 Firefox 提供非常紧急的安全补丁”。
Tor Project 在一篇博文中表示:“我们建议 Windows 用户立即更新”,并将“立即”一词加粗。
如前所述,该漏洞允许一次点击即可入侵。如果用户通过点击链接访问恶意网站,则无需采取其他措施。据观察,黑客利用该漏洞并通过运行远程代码完全入侵系统。