Mozilla a publié des mises à jour pour aborder un défaut de sécurité critique impactant son navigateur Firefox pour Windows, quelques jours après que Google a corrigé un défaut similaire dans Chrome qui a subi une exploitation active en tant que zéro-jour.
La vulnérabilité de sécurité, CVE-2025-2857, a été décrite comme un cas de poignée incorrecte qui pourrait conduire à une évasion de bac à sable.
“Après la récente évasion de Chrome Sandbox (CVE-2025-2783), divers développeurs de Firefox ont identifié un modèle similaire dans notre IPC [inter-process communication] Code, “Mozilla dit dans un avis.
“Un processus d’enfant compromis pourrait amener le processus parent à renvoyer une poignée involontairement puissante, conduisant à une évasion de bac à sable.”
La lacune, qui affecte Firefox et Firefox ESR, a été abordée dans Firefox 136.0.4, Firefox ESR 115.21.1 et Firefox ESR 128.8.1. Il n’y a aucune preuve que CVE-2025-2857 ait été exploité dans la nature.
Le projet Tor a également expédié Une mise à jour de sécurité pour le navigateur TOR (version 14.0.8) pour résoudre le même problème pour les utilisateurs de Windows.
Le développement intervient alors que Google a publié Chrome version 134.0.6998.177/.178 pour Windows pour corriger le CVE-2025-2783, qui a été exploité dans la nature dans le cadre d’attaques ciblant les médias, les établissements d’enseignement et les organisations gouvernementales en Russie.
Kaspersky, qui a détecté l’activité à la mi-mars 2025, a déclaré que l’infection s’est produite après que les victimes non spécifiées ont cliqué sur un lien spécialement conçu dans les e-mails de phishing et que le site Web contrôlé par l’attaquant a été ouvert à l’aide de Chrome.
Le CVE-2025-2783 aurait été enchaîné avec un autre exploit inconnu du navigateur Web pour sortir des limites du bac à sable et réaliser l’exécution du code distant. Cela dit, le correctif du bogue bloque efficacement toute la chaîne d’attaque.
L’Agence américaine de sécurité de cybersécurité et d’infrastructure (CISA) ajouté la faille de ses vulnérabilités connues exploitées (Kev) Catalogue, exigeant que les agences fédérales appliquent les atténuations nécessaires d’ici le 17 avril 2025.
Les utilisateurs sont recommandés pour mettre à jour leurs instances de navigateur vers les dernières versions pour sauvegarder les risques potentiels.



