在谷歌修復(fù)Chrome瀏覽器中一個(gè)已被積極利用的零日漏洞（zero-day）數(shù)日后，Mozilla也發(fā)布了針對(duì)Windows版Firefox瀏覽器高危安全漏洞的更新補(bǔ)丁。

漏洞詳情與修復(fù)版本

該安全漏洞編號(hào)為CVE-2025-2857，被描述為"錯(cuò)誤句柄導(dǎo)致沙箱逃逸"問題。Mozilla在公告中表示："在Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，多位Firefox開發(fā)人員在我們?yōu)g覽器的進(jìn)程間通信（IPC）代碼中發(fā)現(xiàn)了類似問題。"

"受攻擊的子進(jìn)程可能導(dǎo)致父進(jìn)程返回一個(gè)意外獲得的高權(quán)限句柄，最終造成沙箱逃逸。"該漏洞影響Firefox及Firefox ESR（延長支持版），已在Firefox 136.0.4、Firefox ESR 115.21.1和Firefox ESR 128.8.1版本中修復(fù)。目前尚無證據(jù)表明CVE-2025-2857已被野外利用。

關(guān)聯(lián)漏洞攻擊事件

此次更新恰逢谷歌發(fā)布Chrome 134.0.6998.177/.178版本修復(fù)CVE-2025-2783漏洞。該漏洞已被用于針對(duì)俄羅斯媒體機(jī)構(gòu)、教育單位和政府組織的攻擊活動(dòng)中。

卡巴斯基（Kaspersky）在2025年3月中旬檢測(cè)到相關(guān)攻擊行為，受害者通過點(diǎn)擊釣魚郵件中的特制鏈接，使用Chrome瀏覽器訪問攻擊者控制的網(wǎng)站后遭到感染。

漏洞利用鏈分析

據(jù)分析，攻擊者將CVE-2025-2783與瀏覽器中另一個(gè)未知漏洞串聯(lián)使用，突破了沙箱限制實(shí)現(xiàn)遠(yuǎn)程代碼執(zhí)行。及時(shí)修補(bǔ)該漏洞可有效阻斷整個(gè)攻擊鏈條。

美國網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）已將CVE-2025-2783列入已知被利用漏洞（KEV）目錄，要求聯(lián)邦機(jī)構(gòu)在2025年4月17日前完成修復(fù)。建議所有用戶及時(shí)更新瀏覽器至最新版本以防范潛在風(fēng)險(xiǎn)。