A Mozilla lançou o Firefox 136.0.4 para corrigir uma vulnerabilidade crítica de segurança que pode permitir que invasores escapem da sandbox do navegador em sistemas Windows.
Rastreada como CVE-2025-2857 , essa falha é descrita como um “identificador incorreto que pode levar a escapes de sandbox” e foi relatada pelo desenvolvedor da Mozilla, Andrew McCreight.
A vulnerabilidade afeta as versões mais recentes do Firefox standard e extended support (ESR) projetadas para organizações que exigem suporte estendido para implantações em massa. A Mozilla corrigiu a falha de segurança no Firefox 136.0.4 e nas versões 115.21.1 e 128.8.1 do Firefox ESR.
Embora a Mozilla não tenha compartilhado detalhes técnicos sobre o CVE-2025-2857, ela disse que a vulnerabilidade é semelhante a uma vulnerabilidade de dia zero do Chrome explorada em ataques e corrigida pelo Google no início desta semana.
“Após o escape do sandbox no CVE-2025-2783, vários desenvolvedores do Firefox identificaram um padrão semelhante em nosso código IPC. Os invasores conseguiram confundir o processo pai para vazar identificadores em processos filhos sem privilégios [ sic ], levando a um escape do sandbox”, disse a Mozilla em um aviso na quinta-feira.
“A vulnerabilidade original estava sendo explorada na natureza. Isso afeta apenas o Firefox no Windows. Outros sistemas operacionais não são afetados.”
Exploração de dia zero do Chrome para atingir a Rússia
Boris Larin e Igor Kuznetsov, da Kaspersky, que descobriram e relataram o CVE-2025-2783 ao Google, disseram na terça-feira que o zero-day foi explorado para contornar as proteções do sandbox do Chrome e infectar alvos com malware sofisticado.
Eles identificaram exploits CVE-2025-2783 implantados em uma campanha de espionagem cibernética chamada Operação ForumTroll, que tinha como alvo organizações governamentais russas e jornalistas em veículos de comunicação russos não identificados.
“A vulnerabilidade CVE-2025-2783 realmente nos deixou confusos, pois, sem fazer nada obviamente malicioso ou proibido, ela permitiu que os invasores contornassem a proteção sandbox do Google Chrome como se ela nem existisse”, disseram eles.
“Os e-mails maliciosos continham convites supostamente dos organizadores de um fórum científico e especializado, ‘Primakov Readings’, direcionado a veículos de comunicação, instituições educacionais e organizações governamentais na Rússia.”
Em outubro, a Mozilla também corrigiu uma vulnerabilidade de dia zero ( CVE-2024-9680 ) no recurso de linha do tempo de animação do Firefox, explorada pelo grupo cibercriminoso RomCom, sediado na Rússia, que permitiu que os invasores obtivessem execução de código na sandbox do navegador.
A falha foi encadeada com uma escalada de privilégios do Windows zero-day ( CVE-2024-49039 ) que permitiu que os hackers russos executassem código fora do sandbox do Firefox. Suas vítimas foram enganadas para visitar um site controlado pelo invasor que baixou e executou o backdoor RomCom em seus sistemas.
Meses antes, ele corrigiu duas vulnerabilidades de dia zero do Firefox um dia depois de terem sido exploradas na competição de hackers Pwn2Own Vancouver 2024.
