Mozilla heeft Firefox 136.0.4 uitgebracht om een kritieke beveiligingslek te dichten dat aanvallers in staat kan stellen om uit de sandbox van de webbrowser te ontsnappen op Windows-systemen.

Deze fout, geregistreerd als CVE-2025-2857, wordt omschreven als een “onjuist handvat dat kan leiden tot sandbox-ontsnappingen” en werd gemeld door Mozilla-ontwikkelaar Andrew McCreight.

De kwetsbaarheid treft de nieuwste standaard en extended support releases (ESR) van Firefox, ontworpen voor organisaties die uitgebreide ondersteuning nodig hebben voor grootschalige implementaties. Mozilla heeft het beveiligingslek opgelost in Firefox 136.0.4 en de Firefox ESR versies 115.21.1 en 128.8.1.

Hoewel Mozilla geen technische details deelde over CVE-2025-2857, zei het dat de kwetsbaarheid vergelijkbaar is met een zero-day van Chrome die in aanvallen werd gebruikt en eerder deze week door Google is gepatcht.

“Na de sandbox-ontsnapping in CVE-2025-2783 hebben verschillende Firefox-ontwikkelaars een vergelijkbaar patroon in onze IPC-code geïdentificeerd. Aanvallers konden het hoofdproces verwarren om handvatten te lekken naar ongeprivilegieerde subprocessen, wat leidde tot een sandbox-ontsnapping,” zei Mozilla in een advies op donderdag.

“De oorspronkelijke kwetsbaarheid werd in het wild uitgebuit. Dit treft alleen Firefox op Windows. Andere besturingssystemen worden niet beïnvloed.”

### Chrome zero-day uitgebuit om Rusland te targeten

Boris Larin en Igor Kuznetsov van Kaspersky, die CVE-2025-2783 ontdekten en rapporteerden aan Google, zeiden dinsdag dat de zero-day in het wild werd uitgebuit om de sandbox-beveiligingen van Chrome te omzeilen en doelen te infecteren met geavanceerde malware.

Ze zagen CVE-2025-2783-exploits ingezet in een cyber-espionagecampagne genaamd Operation ForumTroll, gericht op Russische overheidsorganisaties en journalisten bij niet nader genoemde Russische media.

“De kwetsbaarheid CVE-2025-2783 liet ons echt in verwarring achter, omdat het, zonder zichtbare kwaadwillige of verboden acties, de aanvallers in staat stelde om de sandbox-beveiliging van Google Chrome te omzeilen alsof het niet bestond,” zeiden ze.

“De kwaadaardige e-mails bevatten uitnodigingen die zogenaamd van de organisatoren van een wetenschappelijk en deskundigenforum, ‘Primakov-lezingen’, afkomstig waren, gericht op media, onderwijsinstellingen en overheidsorganisaties in Rusland.”

In oktober patchte Mozilla ook een zero-day kwetsbaarheid (CVE-2024-9680) in de animatietijdlijnfunctie van Firefox die werd uitgebuit door de in Rusland gevestigde RomCom-cybercrimegroep, waardoor de aanvallers code-uitvoering konden krijgen in de sandbox van de webbrowser.

De fout werd gecombineerd met een zero-day voor privilege-escalatie in Windows (CVE-2024-49039) waarmee de Russische hackers code buiten de sandbox van Firefox konden uitvoeren. Hun slachtoffers werden misleid om een door een aanvaller beheerde website te bezoeken die de RomCom backdoor op hun systemen downloadde en uitvoerde.

Maanden eerder hadden ze twee zero-day-kwetsbaarheden in Firefox opgelost, één dag nadat ze waren uitgebuit tijdens de Pwn2Own Vancouver 2024 hacking-competitie.

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----