Mozilla, saldırganların Windows sistemlerinde web tarayıcısının kum havuzundan kaçmasına izin verebilecek kritik bir güvenlik açığı yaması için Firefox 136.0.4 yayınladı.
CVE-2025-2857 olarak izlenen bu kusur, "yanlış saplı bir kol, sanal alan kaçışlarına yol açabilir" olarak tanımlanır ve Mozilla geliştiricisi Andrew McCreight tarafından bildirilmiştir.
Güvenlik açığı, kitle dağıtımları için genişletilmiş destek gerektiren kuruluşlar için tasarlanmış en son Firefox standardını ve genişletilmiş destek bültenlerini (ESR) etkiler. Mozilla, Firefox 136.0.4 ve Firefox ESR sürümleri 115.21.1 ve 128.8.1'deki güvenlik kusurunu düzeltti.
Mozilla, CVE-2025-2857 ile ilgili teknik ayrıntıları paylaşmasa da, güvenlik açığının saldırılarda sömürülen ve bu hafta başında Google tarafından yamalanan bir krom sıfır gününe benzer olduğunu söyledi.
Mozilla Perşembe günü, "CVE-2025-2783'teki Sanbdox kaçışının ardından, çeşitli Firefox geliştiricileri IPC kodumuzda benzer bir model belirlediler. Saldırganlar, ana süreçleri sızdıran tutamakları bir sanal kutusu kaçışına yol açan olağanüstü [sic] çocuk süreçlerine karıştırabildi." Dedi.
"Orijinal güvenlik açığı vahşi doğada kullanılıyordu. Bu sadece pencerelerde Firefox'u etkiler. Diğer işletim sistemleri etkilenmez."
CVE-2025-2783'ü Google'a keşfeden ve bildiren Kaspersky'den Boris Larin ve Igor Kuznetsov, Salı günü yaptığı açıklamada, sıfır günün vahşi doğada krom sanal alan korumalarını atlamak ve hedefleri sofistike kötü amaçlı yazılımlarla enfekte etmek için sömürüldüğünü söyledi.
İsimsiz Rus medya kuruluşlarında Rus hükümet kuruluşlarını ve gazetecileri hedefleyen forumtrol operasyonu olarak adlandırılan bir siber-ihale kampanyasında konuşlandırılan CVE-2025-2783 istismarlarını tespit ettiler.
"Güvenlik açığı CVE-2025-2783 gerçekten başımızı çizmeye bıraktı, sanki açıkça kötü niyetli veya yasak bir şey yapmadan, saldırganların Google Chrome’un sandbox korumasını varmış gibi atlamasına izin verdi." Dedi.
"Kötü niyetli e -postalar, bilimsel ve uzman bir forum olan 'Primakov Readings' organizatörlerinden, medya kuruluşlarını, eğitim kurumlarını ve Rusya'daki hükümet kuruluşlarını hedefleyen davetiyeler içeriyordu."
Ekim ayında Mozilla, Firefox'un Rus tabanlı Romcom siber suç grubu tarafından kullanıldığı animasyon zaman çizelgesi özelliğinde sıfır gün güvenlik açığını (CVE-2024-9680) yamaladı.
Kusur, Rus bilgisayar korsanlarının Firefox sanal alanının dışında kod yürütmesine izin veren bir Windows ayrıcalık artış sıfallama sıfır gün (CVE-2024-49039) ile zincirlendi. Kurbanları, Romcom Backdoor'u sistemlerinde indiren ve uygulayan saldırgan kontrollü bir web sitesini ziyaret etmek için kandırıldı.
Aylar önce, PWN2own Vancouver 2024 hackleme yarışmasında sömürüldükten bir gün sonra iki Firefox sıfır gün güvenlik açıkını düzeltti.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93'ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.
2017'den beri 11 eyalet hack grubu tarafından sömürülen yeni Windows Zero-Day
Microsoft Mart 2025 Patch Salı günü 7 sıfır gün, 57 kusur düzeltiyor
Kritik PHP RCE güvenlik açığı kütlesi yeni saldırılarda sömürüldü
Firefox, Chrome MV2 reklam bloklarını devre dışı bıraktıkça V2 desteğini göstermeye devam ediyor
Microsoft Şubat 2025 Patch Salı 4 sıfır gün, 55 kusur düzeltiyor
Kaynak: Bleeping Computer