Mozilla a publié Firefox 136.0.4 pour corriger une vulnérabilité de sécurité critique qui peut permettre aux attaquants d’échapper au bac à sable du navigateur Web sur les systèmes Windows.
Suivi comme CVE-2025-2857, cette faille est décrite comme une « poignée incorrecte pourrait conduire à des fuites de bac à sable » et a été signalée par le développeur Mozilla Andrew McCreight.
La vulnérabilité affecte les dernières versions de Firefox standard et de support étendu (ESR) conçues pour les organisations qui nécessitent un support étendu pour les déploiements de masse. Mozilla a corrigé la faille de sécurité dans Firefox 136.0.4 et Firefox ESR versions 115.21.1 et 128.8.1.
Bien que Mozilla n’ait pas partagé de détails techniques concernant CVE-2025-2857, il a déclaré que la vulnérabilité est similaire à un Chrome zero-day exploité dans des attaques et corrigé par Google plus tôt cette semaine.
« Suite à l’évasion de sanbdox dans CVE-2025-2783, divers développeurs de Firefox ont identifié un schéma similaire dans notre code IPC. Les attaquants ont réussi à confondre le processus parent en faisant fuir les poignées dans des processus enfants non privilégiés [sic] conduisant à une évasion du bac à sable », a déclaré Mozilla dans un avis jeudi.
« La vulnérabilité d’origine était exploitée dans la nature. Cela n’affecte que Firefox sous Windows. Les autres systèmes d’exploitation ne sont pas affectés. »
Chrome zero-day exploité pour cibler la Russie
Boris Larin et Igor Kuznetsov de Kaspersky, qui ont découvert et signalé CVE-2025-2783 à Google, ont déclaré mardi que le jour zéro avait été exploité dans la nature pour contourner les protections du bac à sable Chrome et infecter des cibles avec des logiciels malveillants sophistiqués.
Ils ont repéré des exploits CVE-2025-2783 déployés dans une campagne de cyberespionnage baptisée Opération ForumTroll, ciblant des organisations gouvernementales russes et des journalistes dans des médias russes anonymes.
« La vulnérabilité CVE-2025-2783 nous a vraiment laissé nous gratter la tête, car, sans rien faire de manifestement malveillant ou interdit, elle a permis aux attaquants de contourner la protection du bac à sable de Google Chrome comme si elle n’existait même pas », ont-ils déclaré.
« Les courriels malveillants contenaient des invitations soi-disant des organisateurs d’un forum scientifique et d’experts, « Lectures Primakov », ciblant les médias, les établissements d’enseignement et les organisations gouvernementales en Russie. »
En octobre, Mozilla a également corrigé une vulnérabilité zero-day (CVE-2024-9680) dans la fonctionnalité de chronologie d’animation de Firefox exploitée par le groupe de cybercriminalité RomCom basé en Russie qui permettait aux attaquants d’obtenir l’exécution de code dans le bac à sable du navigateur Web.
La faille était chaînée avec une escalade de privilèges Windows zero-day (CVE-2024-49039) qui permettait aux pirates russes d’exécuter du code en dehors de la sandbox Firefox. Leurs victimes ont été amenées à visiter un site Web contrôlé par un attaquant qui a téléchargé et exécuté la porte dérobée RomCom sur leurs systèmes.
Des mois plus tôt, il a corrigé deux vulnérabilités Firefox zero-day un jour après leur exploitation lors du concours de piratage Pwn2Own Vancouver 2024.