在谷歌修復Chrome瀏覽器中一個已被積極利用的零日漏洞（zero-day）數日后，Mozilla也發(fā)布了針對Windows版Firefox瀏覽器高危安全漏洞的更新補丁。

漏洞詳情與修復版本

該安全漏洞編號為CVE-2025-2857，被描述為"錯誤句柄導致沙箱逃逸"問題。Mozilla在公告中表示："在Chrome沙箱逃逸漏洞（CVE-2025-2783）曝光后，多位Firefox開發(fā)人員在我們?yōu)g覽器的進程間通信（IPC）代碼中發(fā)現了類似問題。"

"受攻擊的子進程可能導致父進程返回一個意外獲得的高權限句柄，最終造成沙箱逃逸。"該漏洞影響Firefox及Firefox ESR（延長支持版），已在Firefox 136.0.4、Firefox ESR 115.21.1和Firefox ESR 128.8.1版本中修復。目前尚無證據表明CVE-2025-2857已被野外利用。

關聯漏洞攻擊事件

此次更新恰逢谷歌發(fā)布Chrome 134.0.6998.177/.178版本修復CVE-2025-2783漏洞。該漏洞已被用于針對俄羅斯媒體機構、教育單位和政府組織的攻擊活動中。

卡巴斯基（Kaspersky）在2025年3月中旬檢測到相關攻擊行為，受害者通過點擊釣魚郵件中的特制鏈接，使用Chrome瀏覽器訪問攻擊者控制的網站后遭到感染。

漏洞利用鏈分析

據分析，攻擊者將CVE-2025-2783與瀏覽器中另一個未知漏洞串聯使用，突破了沙箱限制實現遠程代碼執(zhí)行。及時修補該漏洞可有效阻斷整個攻擊鏈條。

美國網絡安全和基礎設施安全局（CISA）已將CVE-2025-2783列入已知被利用漏洞（KEV）目錄，要求聯邦機構在2025年4月17日前完成修復。建議所有用戶及時更新瀏覽器至最新版本以防范潛在風險。