Podatność w kodzie IPC przeglądarki Firefox na Windows umożliwia skompromitowanemu procesowi potomnemu ucieczkę z sandbox poprzez wymuszenie zwrócenia przez proces nadrzędny nadmiernie uprzywilejowanego uchwytu (handle). Podatność otrzymała maksymalny wynik CVSS 10.0 i jest bezpośrednio analogiczna do aktywnie eksploitowanej luki CVE-2025-2783 w przeglądarce Chrome.
▸ Pokaż oryginał (EN)
Following the recent Chrome sandbox escape (CVE-2025-2783), various Firefox developers identified a similar pattern in our IPC code. A compromised child process could cause the parent process to return an unintentionally powerful handle, leading to a sandbox escape. The original vulnerability was being exploited in the wild. *This only affects Firefox on Windows. Other operating systems are unaffected.*. This vulnerability was fixed in Firefox 136.0.4, Firefox ESR 128.8.1, and Firefox ESR 115.21.1.
Skompromitowany proces potomny (child process) przeglądarki Firefox manipuluje komunikacją IPC (Inter-Process Communication) w taki sposób, że proces nadrzędny (parent process) zwraca uchwyt systemowy o niezamierzenie wysokich uprawnieniach. Uzyskanie takiego uchwytu pozwala procesowi potomnemu wyjść poza izolację sandbox, którą Firefox stosuje w celu ograniczenia zasięgu ewentualnego ataku. Wzorzec błędu został zidentyfikowany przez programistów Mozilla po analizie analogicznej podatności odkrytej w silniku Chrome (CVE-2025-2783). Podatność dotyczy wyłącznie systemu Windows — inne systemy operacyjne nie są dotknięte.
Atakujący, który wcześniej uzyskał wykonanie kodu w procesie potomnym przeglądarki (np. przez inną podatność), może uciec z sandbox i uzyskać pełny dostęp do systemu operacyjnego ofiary, co w praktyce oznacza możliwość przejęcia kontroli nad systemem, kradzieży danych oraz instalacji złośliwego oprogramowania.
Należy niezwłocznie zaktualizować Firefox do wersji 136.0.4 lub nowszej. Dla gałęzi rozszerzonego wsparcia (ESR): Firefox ESR 128.x — aktualizacja do 128.8.1; Firefox ESR 115.x — aktualizacja do 115.21.1. Patche dostępne są za pośrednictwem wbudowanego mechanizmu aktualizacji przeglądarki oraz na stronie Mozilla (mfsa2025-19).
Mozilla Firefox na Windows — wersje poprzedzające Firefox 136.0.4, Firefox ESR 128.8.1 oraz Firefox ESR 115.21.1
Opis CVE wskazuje, że analogiczna podatność CVE-2025-2783 w Chrome była aktywnie eksploitowana w środowisku naturalnym (exploited in the wild). Podatność CVE-2025-2857 została zidentyfikowana proaktywnie przez programistów Mozilla jako ten sam wzorzec błędu w kodzie Firefox — sam opis stwierdza, że oryginalna podatność (Chrome) była eksploitowana, jednak nie potwierdza aktywnego eksploitowania samego CVE-2025-2857. Podatność sklasyfikowana jako CWE-668 (Exposure of Resource to Wrong Sphere).
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HMozilla Firefox
APPMozilla< 136.0.4< 115.21.1128.1.0 – 128.8.1 (bez)
Powiązane podatności
Use-after-free w Animation timelines Firefox/Thunderbird — RCE
An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...
Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...
Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...
Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...