Chrome浏览器零日漏洞也影响Firefox
由于 Firefox 使用不同的浏览器引擎,这一发现令人惊讶。但看起来该漏洞更多地与浏览器与 Windows 操作系统的通信方式有关。
Mozilla 警告称,针对谷歌 Chrome 浏览器的可怕零日攻击也适用于 Firefox。
此次攻击利用了漏洞CVE-2025-2783,迫使 Google 紧急为 Windows 上的 Chrome 用户发布紧急补丁。周四,Mozilla 发布了自己的修复程序,尽管 Firefox 使用的是其浏览器引擎,而不是 Google 的 Chromium。
这个问题令人惊讶,因为谷歌将该漏洞归因于涉及“Mojo 中未指定情况”的逻辑问题,Mojo 是一种适用于 Windows 的编程语言。但在一篇博客文章中,Mozilla 警告称,在发现具有类似特征的可利用行为后,CVE-2025-2783 也威胁到 Firefox 用户。
具体来说,CVE-2025-2783 为黑客提供了一种远程逃离浏览器“沙盒”的方法,“沙盒”是用于隔离恶意进程的安全层。
该公司写道:“在 CVE-2025-2783 中出现沙盒逃逸之后,多名 Firefox 开发人员在我们的 IPC 代码中发现了类似的模式。” IPC 指的是“进程间通信”,这是 Windows 用于促进应用程序间数据共享的机制。
因此,看起来该漏洞与 Windows 上的内部进程有关,而不是与 Mojo 编程语言有关。Mozilla 补充道:“攻击者能够混淆父进程,从而将句柄泄露给非特权子进程,从而导致沙盒逃逸。”
该漏洞仅影响 Windows 上的 Firefox 用户。该公司通过 Firefox 136.0.4、Firefox ESR 115.21.1 和 Firefox ESR 128.8.1 发布了补丁。
