Mozilla, saldırganların Windows sistemlerinde web tarayıcısının kum havuzundan kaçmasına izin verebilecek kritik bir güvenlik açığı yaması için Firefox 136.0.4 yayınladı.
CVE-2025-2857 olarak izlenen bu kusur, “yanlış saplı bir kol, sanal alan kaçışlarına yol açabilir” olarak tanımlanır ve Mozilla geliştiricisi Andrew McCreight tarafından bildirilmiştir.
Güvenlik açığı, kitle dağıtımları için genişletilmiş destek gerektiren kuruluşlar için tasarlanmış en son Firefox standardını ve genişletilmiş destek bültenlerini (ESR) etkiler. Mozilla, Firefox 136.0.4 ve Firefox ESR sürümleri 115.21.1 ve 128.8.1’deki güvenlik kusurunu düzeltti.
Mozilla, CVE-2025-2857 ile ilgili teknik ayrıntıları paylaşmasa da, güvenlik açığının saldırılarda sömürülen ve bu hafta başında Google tarafından yamalanan bir krom sıfır gününe benzer olduğunu söyledi.
“CVE-2025-2783’teki Sanbdox kaçışının ardından, çeşitli Firefox geliştiricileri IPC kodumuzda benzer bir model belirlediler. Saldırganlar, ana süreçleri sızdırmaz tutamaklara olumsuz hale getirebildiler. [sic] Çocuk süreçleri sanal alan kaçışına yol açıyor, “dedi Mozilla Perşembe günü danışmanlık.
“Orijinal güvenlik açığı vahşi doğada kullanılıyordu. Bu sadece pencerelerde Firefox’u etkiler. Diğer işletim sistemleri etkilenmez.”
Rusya’yı hedeflemek için sıfır gün sömürüldü
CVE-2025-2783’ü Google’a keşfeden ve bildiren Kaspersky’den Boris Larin ve Igor Kuznetsov, Salı günü yaptığı açıklamada, sıfır günün vahşi doğada krom sanal alan korumalarını atlamak ve hedefleri sofistike kötü amaçlı yazılımlarla enfekte etmek için sömürüldüğünü söyledi.
İsimsiz Rus medya kuruluşlarında Rus hükümet kuruluşlarını ve gazetecileri hedefleyen forumtrol operasyonu olarak adlandırılan bir siber-ihale kampanyasında konuşlandırılan CVE-2025-2783 istismarlarını tespit ettiler.
“Güvenlik açığı CVE-2025-2783, gerçekten kötü niyetli veya yasak bir şey yapmadan, saldırganların Google Chrome’un sandbox korumasını varmış gibi atlamasına izin verdi.” Dedi.
“Kötü niyetli e -postalar, bilimsel ve uzman bir forum olan ‘Primakov Readings’ organizatörlerinden, medya kuruluşlarını, eğitim kurumlarını ve Rusya’daki hükümet kuruluşlarını hedefleyen davetiyeler içeriyordu.”
Ekim ayında Mozilla, Firefox’un Rus tabanlı Romcom siber suç grubu tarafından kullanıldığı animasyon zaman çizelgesi özelliğinde sıfır gün güvenlik açığını (CVE-2024-9680) yamaladı.
Kusur, Rus bilgisayar korsanlarının Firefox sanal alanının dışında kod yürütmesine izin veren bir Windows ayrıcalık artışı sıfır gün (CVE-2024-49039) ile zincirlendi. Kurbanları, Romcom Backdoor’u sistemlerinde indiren ve uygulayan saldırgan kontrollü bir web sitesini ziyaret etmek için kandırıldı.
Aylar önce, PWN2own Vancouver 2024 hackleme yarışmasında sömürüldükten bir gün sonra iki Firefox sıfır gün güvenlik açıkını düzeltti.
14 metrelik kötü niyetli eylemlerin analizine dayanarak, saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 MITER ATT & CK tekniklerini keşfedin.