謝至恩Mozilla 近日針對其 Firefox 瀏覽器(Windows 版)釋出安全更新,以修補一項重大漏洞。這項漏洞與 Google 前幾天修補、已遭惡意利用的 Chrome 零時差 (zero-day) 漏洞類似。
這項安全漏洞代號為 CVE-2025-2857,被描述為「錯誤的處理程序導致沙箱逃逸」(sandbox escape) 。 Mozilla 在公告中指出:
「在 Chrome 最近出現沙箱逃逸漏洞 (CVE-2025-2783) 後,多位 Firefox 開發者在我們的 IPC(跨行程通訊)程式碼中識別出相似的模式。」
Mozilla 解釋,若子程序 (child process) 被攻破,可能導致主程序回傳一個意外擁有高度權限的 handle,進而造成沙箱逃逸。
此漏洞影響 Firefox 以及 Firefox ESR,並已在以下版本中獲得修復:
- Firefox 136.0.4
- Firefox ESR 115.21.1
- Firefox ESR 128.8.1
目前尚無證據顯示 CVE-2025-2857 已遭到實際利用。
此外,Tor Project 也針對 Windows 使用者,發布了 Tor Browser 版本 14.0.8 的安全更新,以解決同樣問題。
此事件與 Google 針對 Chrome 所釋出的版本 134.0.6998.177/.178 有關。該版本修補了編號為 CVE-2025-2783 的漏洞,該漏洞已遭用於針對俄羅斯媒體、教育機構及政府組織的攻擊。
根據卡巴斯基 (Kaspersky) 在 2025 年 3 月中發現的活動,受害者是在點擊釣魚郵件中的特製連結後,被導向攻擊者控制的網站並開啟 Chrome 瀏覽器,進而被感染。
據了解,CVE-2025-2783 被與另一未知漏洞串聯使用,突破瀏覽器沙箱限制,實現遠端程式執行。不過,只要修補此漏洞,就可阻斷整個攻擊鏈。
美國網路安全暨基礎設施安全局 (CISA) 已將此漏洞列入「已知遭利用漏洞清單」(KEV),並要求聯邦機構最遲於 2025 年 4 月 17 日前完成必要的緩解措施。
建議所有使用者立即將瀏覽器更新至最新版本,以防範潛在風險。
Source: The Hacker News