聚焦源代码安全,网罗国内外最新资讯!
Mozilla 公司修复的漏洞编号是CVE-2025-2857,是一个不正确的句柄,可导致沙箱逃逸。Mozilla 在安全公告中提到,“根据最近的Chrome 沙箱逃逸漏洞 (CVE-2025-2783),多名Firefox 开发人员在我们的IPC(进程间通信)代码中发现了一个类似模式。受攻陷的子进程可导致父进程返回预期之外的强大句柄,从而导致沙箱逃逸。”
该漏洞影响 Firefox 和 Firefox ESR,已在Firefox 136.0.4、Firefox ESR 115.21.1和Firefox ESR 128.8.1中修复,未有证据表明该漏洞已遭在野利用。
此前不久,谷歌发布Chrome 134.0.6998.177/.178 Windows 版本,修复漏洞CVE-2025-2783。该漏洞已遭在野利用,是针对俄罗斯新闻媒体、教育机构和政府组织机构开展的攻击的一部分。卡巴斯基在2025年3月中旬检测到该攻击,并提到感染发生在受害者点击钓鱼邮件中特殊构造链接,通过Chrome 打开受攻击者控制的网站后发生。
据称,CVE-2025-2783与Chrome 浏览器中的一个未知利用组合用于突破沙箱限制并实现远程代码执行后果。修复该漏洞有效地拦截了整个攻击链。美国CISA之后将漏洞纳入必修清单,要求联邦机构在4月17日之前应用必要的缓解措施。
建议用户将浏览器实例更新至最新版本,阻止潜在风险。
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~