Mozilla ha lanzado actualizaciones para solucionar una falla de seguridad crítica que afecta a su navegador Firefox para Windows, apenas unos días después de que Google solucionara una falla similar en Chrome que estaba siendo explotada activamente como un día cero.
La vulnerabilidad de seguridad, CVE-2025-2857, ha sido descrita como un caso de un identificador incorrecto que podría provocar un escape de la zona protegida.
«Tras el reciente escape del entorno sandbox de Chrome (CVE-2025-2783), varios desarrolladores de Firefox identificaron un patrón similar en nuestro código IPC [comunicación entre procesos]», dijo Mozilla en un aviso.
«Un proceso secundario comprometido podría provocar que el proceso principal devuelva un identificador involuntariamente poderoso, lo que daría lugar a una fuga de seguridad de la zona protegida».
La deficiencia, que afecta a Firefox y Firefox ESR, se ha solucionado en Firefox 136.0.4, Firefox ESR 115.21.1 y Firefox ESR 128.8.1. No hay evidencia de que CVE-2025-2857 haya sido explotada de forma activa.
El Proyecto Tor también ha enviado una actualización de seguridad para el navegador Tor (versión 14.0.8) para solucionar el mismo problema para los usuarios de Windows.
El desarrollo ocurre luego de que Google lanzó la versión 134.0.6998.177/.178 de Chrome para Windows para corregir CVE-2025-2783, que ha sido explotada como parte de ataques dirigidos a medios de comunicación, instituciones educativas y organizaciones gubernamentales en Rusia.
Kaspersky, que detectó la actividad a mediados de marzo de 2025, dijo que la infección ocurrió después de que víctimas no especificadas hicieron clic en un enlace especialmente diseñado en correos electrónicos de phishing y el sitio web controlado por el atacante se abrió usando Chrome.
Se dice que CVE-2025-2783 se ha encadenado con otro exploit desconocido en el navegador web para evadir los límites del entorno de pruebas y lograr la ejecución remota de código. Dicho esto, la corrección del fallo bloquea eficazmente toda la cadena de ataque.
Desde entonces, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) agregó la falla a su catálogo de Vulnerabilidades Explotadas Conocidas ( KEV ), requiriendo que las agencias federales apliquen las mitigaciones necesarias antes del 17 de abril de 2025.
Se recomienda a los usuarios que actualicen sus navegadores a las últimas versiones para protegerse contra posibles riesgos.
Fuente y redacción: thehackernews.com
