Mozilla: corretto bug nella sandbox escape Firefox su Windows

Mozilla ha rilasciato Firefox 136.0.4 per correggere una vulnerabilità di sicurezza critica che può consentire agli aggressori di evadere dalla sandbox del browser su Windows. Tracciato come CVE-2025-2857, tale difetto è stato segnalato dallo sviluppatore Mozilla Andrew McCreight. Quest’ultimo l’ha descritto come "un handle non corretto potrebbe portare a evasioni dalla sandbox". La vulnerabilità ha un impatto sulle ultime release di Firefox standard ed extended support (ESR) progettate per le organizzazioni che richiedono un supporto esteso per distribuzioni di massa. Mozilla ha corretto il difetto di sicurezza in Firefox 136.0.4 e nelle versioni Firefox ESR 115.21.1 e 128.8.1.

Mozilla non ha condiviso dettagli tecnici riguardanti CVE-2025-2857. Tuttavia, ha affermato che la vulnerabilità è simile a una vulnerabilità zero-day di Chrome sfruttata in attacchi e corretta da Google all'inizio di questa settimana. Come ha affermato Mozilla in un avviso di giovedì: "In seguito all'escape sanbdox in CVE-2025-2783, vari sviluppatori di Firefox hanno identificato un modello simile nel nostro codice IPC. Gli aggressori sono stati in grado di confondere il processo padre facendo trapelare handle in processi figlio non privilegiati [sic], portando a un'escape sandbox. La vulnerabilità originale veniva sfruttata in natura. Ciò riguarda solo Firefox su Windows. Altri sistemi operativi non sono interessati".

Boris Larin e Igor Kuznetsov di Kaspersky, che hanno scoperto e segnalato CVE-2025-2783 a Google. Gli sviluppatori hanno affermato martedì che lo zero-day è stato sfruttato in natura per aggirare le protezioni sandbox di Chrome e infettare gli obiettivi con malware sofisticato. Larin e Kuznetsov hanno individuato gli exploit CVE-2025-2783 distribuiti in una campagna di cyber-spionaggio soprannominata Operation ForumTroll, che ha preso di mira organizzazioni governative russe e giornalisti di anonimi organi di stampa russi.

Mozilla: gli altri zero-day corretti su Firefox

A ottobre, Mozilla ha anche corretto una vulnerabilità zero-day (CVE-2024-9680) nella funzionalità della cronologia animata di Firefox sfruttata dal gruppo di criminalità informatica russo RomCom che ha consentito agli aggressori di ottenere l'esecuzione di codice nella sandbox del browser. La falla era concatenata con una zero-day di escalation dei privilegi di Windows (CVE-2024-49039). Lo zero-day ha consentito agli hacker russi di eseguire codice al di fuori della sandbox di Firefox. Le loro vittime sono state indotte con l'inganno a visitare un sito controllato dall'aggressore che ha scaricato ed eseguito la backdoor RomCom sui loro sistemi. Mesi prima, l’azienda aveva corretto due vulnerabilità zero-day di Firefox un giorno dopo che erano state sfruttate alla competizione di hacking Pwn2Own Vancouver 2024.