CVE-2025-2857
KrytyczneStreszczenie
W wyniku niedawnej ucieczki z piaskownicy w Chrome (CVE-2025-2783), deweloperzy Firefox zauważyli podobny wzorzec w naszym kodzie IPC. Skompromitowany proces podrzędny mógłby spowodować, że proces nadrzędny zwróci niezamierzenie potężny uchwyt, co prowadzi do ucieczki z piaskownicy.
Ocena ryzyka
Ta podatność może umożliwić atakującym uzyskanie nieautoryzowanego dostępu do systemu operacyjnego Windows, co stwarza poważne zagrożenie dla bezpieczeństwa organizacji. Wykorzystanie tej luki było już obserwowane w dzikiej przyrodzie.
Rekomendacja
Zaleca się aktualizację do wersji Firefox 136.0.4, Firefox ESR 128.8.1 lub Firefox ESR 115.21.1, aby usunąć tę podatność. Należy również monitorować systemy w celu wykrycia potencjalnych prób wykorzystania tej luki.
Oryginalny opis (angielski, źródło NVD)
Following the recent Chrome sandbox escape (CVE-2025-2783), various Firefox developers identified a similar pattern in our IPC code. A compromised child process could cause the parent process to return an unintentionally powerful handle, leading to a sandbox escape. The original vulnerability was being exploited in the wild. *This only affects Firefox on Windows. Other operating systems are unaffected.*. This vulnerability was fixed in Firefox 136.0.4, Firefox ESR 128.8.1, and Firefox ESR 115.21.1.

