Mozilla telah meluncurkan Firefox 136.0.4 untuk menambal kerentanan keselamatan kritis yang dapat memungkinkan para penyerang melarikan diri dari kotak pasir peramban web dalam sistem Windows.
Dilacak seperti CVE-2025-2857Cacat ini digambarkan sebagai “mangga yang salah dapat menyebabkan knalpot pasir” dan diinformasikan oleh pengembang Mozilla Andrew McCreight.
Kerentanan berdampak pada Firefox standar terbaru dan Extended Support Version (ESR) yang dirancang untuk organisasi yang membutuhkan dukungan diperluas untuk implementasi massa. Mozilla mengatur kegagalan keamanan di Firefox 136.0.4 dan Firefox ESR 115.21.1 dan 128.8.1 versi.
Sementara Mozilla tidak berbagi detail teknis tentang CVE-2025-2857, ia mengatakan bahwa Kerentanan mirip dengan hari nol krom Dieksploitasi dalam serangan dan penambalan oleh Google awal pekan ini.
“Setelah pelarian Sanbdox di CVE-2025-2783, beberapa pengembang Firefox mengidentifikasi pola yang sama dalam kode IPC kami. Para penyerang dapat membingungkan proses utama dalam menangani kebocoran. [sic] Proses anak -anak yang mengarah ke pelarian pasir, “kata Mozilla pada peringatan pada hari Kamis.
“Kerentanan asli meledak di alam. Ini hanya mempengaruhi Firefox di Windows. Sistem operasi lainnya tidak terpengaruh.”
Chrome nol hari dieksploitasi untuk menyerang Rusia
Boris Larin dan Igor Kuznetsov dari Kaspersky, yang menemukan dan melaporkan CVE-2025-2783 ke Google, mengatakan pada hari Selasa bahwa Nol Day dieksploitasi secara alami untuk menghindari perlindungan pasir krom dan menginfeksi tujuan dengan malware canggih.
Mereka melihat eksploitasi CVE-2025-2783 yang dikerahkan dalam penggemar cybernetic yang disebut Operation ForumTroll, yang ditujukan untuk organisasi dan jurnalis pemerintah Rusia di media Rusia yang tidak dikenal.
“Kerentanan CVE-2025-2783 benar-benar membuat kami menggaruk-garuk kepala kami, karena, tanpa melakukan sesuatu yang jelas jahat atau dilarang, itu memungkinkan penyerang untuk mengabaikan perlindungan kotak pasir dari Google Chrome seolah-olah mereka bahkan tidak ada,” kata mereka.
“Email berbahaya berisi undangan yang seharusnya dari penyelenggara forum ilmiah dan ahli, ‘pembacaan Primakov’, menyerang media, lembaga pendidikan dan organisasi pemerintah di Rusia.”
Pada bulan Oktober, Mozilla juga memperbaiki kerentanan nol hari (CVE-2024-9680) Dalam fungsi jadwal animasi Firefox dieksploitasi oleh kelompok kejahatan dunia maya Rusia yang memungkinkan penyerang untuk mendapatkan eksekusi kode di kotak pasir browser web.
Kesalahan itu dirantai dengan nol hari hak istimewa Windows Privilege (CVE-2024-49039) Itu memungkinkan bajak laut komputer Rusia untuk menjalankan kode di luar kotak pasir Firefox. Korban mereka ditipu untuk mengunjungi situs web yang dikendalikan oleh para penyerang yang mengunduh dan mengeksekusi pintu belakang gerbang Romada dalam sistem mereka.
Bulan sebelumnya, Dua kerentanan hari nol firefox berkorelasi Sehari setelah mereka dieksploitasi dalam kompetisi pembajakan PWN2own Vancouver 2024.
Berdasarkan analisis 14 juta tindakan jahat, temukan 10 Mitre ATT & CK teknik dari 10 terop besar di belakang 93% serangan dan bagaimana mempertahankannya.
