Mozilla ha publicado actualizaciones para afrontar una defecto de seguridad crítica que afecta a su navegador Firefox para Windows, simplemente días posteriormente de que Google parchó una defecto similar en Chrome que quedó bajo una explotación activa como un día cero.
La vulnerabilidad de seguridad, CVE-2025-2857, se ha descrito como un caso de un mango incorrecto que podría conducir a un escape de Sandbox.
“Luego del fresco Escape de Sandbox Chrome (CVE-2025-2783), varios desarrolladores de Firefox identificaron un patrón similar en nuestro código IPC (comunicación entre procesos)”, dijo Mozilla en un aviso.
“Un proceso pueril comprometido podría hacer que el proceso de los padres devuelva un mango involuntariamente poderoso, lo que lleva a un escape de sandbox”.
La deficiencia, que afecta a Firefox y Firefox ESR, se ha abordado en Firefox 136.0.4, Firefox ESR 115.21.1 y Firefox ESR 128.8.1. No hay evidencia de que CVE-2025-2857 haya sido explotado en la naturaleza.
El esquema TOR además ha enviado una puesta al día de seguridad para el navegador TOR (interpretación 14.0.8) para afrontar el mismo problema para los usuarios de Windows.
El explicación se produce cuando Google lanzó Chrome interpretación 134.0.6998.177/.178 para que Windows arregle CVE-2025-2783, que ha sido explotado en la naturaleza como parte de los ataques dirigidos a medios de comunicación, instituciones educativas y organizaciones gubernamentales en Rusia.
Kaspersky, que detectó la actividad a mediados de marzo de 2025, dijo que la infección ocurrió posteriormente de que las víctimas no especificadas hicieron clic en un enlace especialmente cuidado en correos electrónicos de phishing y el sitio web controlado por el atacante se abrió utilizando Chrome.
Se dice que CVE-2025-2783 fue encadenado próximo con otro exploit desconocido en el navegador web para salir de los límites del sandbox y alcanzar la ejecución del código remoto. Dicho esto, parchear el error bloquea efectivamente toda la condena de ataque.
Desde entonces, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha asociado el defecto a su conocido catálogo de vulnerabilidades explotadas (KEV), lo que requiere que las agencias federales apliquen las mitigaciones necesarias para el 17 de abril de 2025.
Se recomienda a los usuarios que actualicen las instancias de su navegador a las últimas versiones para proteger contra posibles riesgos.
