Mozilla 修复类似 Chrome 零日漏洞的严重 Firefox 漏洞

HackerNews 编译，转载请注明出处：

Mozilla已发布更新，修复了影响其Firefox浏览器的严重安全漏洞。就在几天前，谷歌修复了Chrome中的类似漏洞，该漏洞曾作为零日漏洞在实际攻击中被利用。

这一安全漏洞编号为CVE-2025-2857，被描述为由于错误的句柄管理导致的沙箱逃逸问题。

“在近期Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，Firefox的多位开发人员在我们的IPC（进程间通信）代码中发现了类似的模式。”Mozilla在公告中表示。

“受感染的子进程可能导致父进程返回一个意外的高权限句柄，从而实现沙箱逃逸。”

该漏洞影响了Firefox和Firefox ESR，Mozilla已在以下版本中修复了问题：  

- Firefox 136.0.4  

- Firefox ESR 115.21.1  

- Firefox ESR 128.8.1  

目前没有证据表明CVE-2025-2857在野外被利用。

与此同时，谷歌也已发布Chrome 134.0.6998.177/.178版，以修复CVE-2025-2783。该漏洞在针对俄罗斯的媒体机构、教育机构和政府组织的攻击中被积极利用。

卡巴斯基在2025年3月中旬检测到这一活动，称受害者是在点击钓鱼邮件中的恶意链接后遭到感染。当受害者使用Chrome打开攻击者控制的网站时，攻击随即发生。

据悉，攻击者将CVE-2025-2783与另一个未知的浏览器漏洞结合使用，成功逃逸沙箱并执行远程代码。不过，修补该漏洞可有效阻断整个攻击链。

美国网络安全和基础设施安全局（CISA）已将此漏洞添加到其“已知被利用的漏洞”（KEV）目录中，并要求联邦机构在2025年4月17日之前采取必要的缓解措施。

建议用户尽快将浏览器更新至最新版本，以防范潜在的安全风险。

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文