Mozilla紧急发布更新，修复了影响Firefox浏览器的严重安全漏洞，该漏洞与谷歌Chrome中已修复的零日漏洞类似。该安全漏洞编号为CVE-2025-2857，由于错误的句柄管理导致沙箱逃逸。同时，谷歌也发布了Chrome更新，修复了CVE-2025-2783，该漏洞曾被用于攻击。用户应尽快更新浏览器至最新版本，以防范潜在的安全风险。目前，这两个漏洞均未在野外被广泛利用，但潜在威胁依然存在。

🚨 Firefox修复了CVE-2025-2857漏洞，该漏洞源于错误的句柄管理，可能导致沙箱逃逸。Mozilla已在Firefox 136.0.4、Firefox ESR 115.21.1和Firefox ESR 128.8.1版本中修复了此问题。

💻 谷歌已修复Chrome中的CVE-2025-2783漏洞，该漏洞曾被用于针对俄罗斯机构的攻击。攻击者结合该漏洞与未知浏览器漏洞，成功逃逸沙箱。

🛡️ CVE-2025-2783漏洞的攻击始于钓鱼邮件中的恶意链接，受害者点击后，攻击者利用Chrome打开恶意网站。美国CISA已将此漏洞添加到其“已知被利用的漏洞”目录中，并要求联邦机构采取缓解措施。

✅ 建议用户尽快将浏览器更新至最新版本，以保护自身安全。虽然目前没有证据表明CVE-2025-2857在野外被利用，但保持警惕至关重要。

HackerNews 编译，转载请注明出处：

Mozilla已发布更新，修复了影响其Firefox浏览器的严重安全漏洞。就在几天前，谷歌修复了Chrome中的类似漏洞，该漏洞曾作为零日漏洞在实际攻击中被利用。

这一安全漏洞编号为CVE-2025-2857，被描述为由于错误的句柄管理导致的沙箱逃逸问题。

“在近期Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，Firefox的多位开发人员在我们的IPC（进程间通信）代码中发现了类似的模式。”Mozilla在公告中表示。

“受感染的子进程可能导致父进程返回一个意外的高权限句柄，从而实现沙箱逃逸。”

该漏洞影响了Firefox和Firefox ESR，Mozilla已在以下版本中修复了问题：  

– Firefox 136.0.4  

– Firefox ESR 115.21.1  

– Firefox ESR 128.8.1  

目前没有证据表明CVE-2025-2857在野外被利用。

与此同时，谷歌也已发布Chrome 134.0.6998.177/.178版，以修复CVE-2025-2783。该漏洞在针对俄罗斯的媒体机构、教育机构和政府组织的攻击中被积极利用。

卡巴斯基在2025年3月中旬检测到这一活动，称受害者是在点击钓鱼邮件中的恶意链接后遭到感染。当受害者使用Chrome打开攻击者控制的网站时，攻击随即发生。

据悉，攻击者将CVE-2025-2783与另一个未知的浏览器漏洞结合使用，成功逃逸沙箱并执行远程代码。不过，修补该漏洞可有效阻断整个攻击链。

美国网络安全和基础设施安全局（CISA）已将此漏洞添加到其“已知被利用的漏洞”（KEV）目录中，并要求联邦机构在2025年4月17日之前采取必要的缓解措施。

建议用户尽快将浏览器更新至最新版本，以防范潜在的安全风险。

 

---

消息来源：The Hacker News； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文