Mozilla ha publicado actualizaciones para abordar una falla de seguridad crítica que afecta a su navegador Firefox para Windows, simplemente días después de que Google parchó una falla similar en Chrome que quedó bajo una explotación activa como un día cero.
La vulnerabilidad de seguridad, CVE-2025-2857, se ha descrito como un caso de un mango incorrecto que podría conducir a un escape de Sandbox.
«Después del reciente Escape de Sandbox Chrome (CVE-2025-2783), varios desarrolladores de Firefox identificaron un patrón similar en nuestro código IPC (comunicación entre procesos)», dijo Mozilla en un aviso.
«Un proceso infantil comprometido podría hacer que el proceso de los padres devuelva un mango involuntariamente poderoso, lo que lleva a un escape de sandbox».
La deficiencia, que afecta a Firefox y Firefox ESR, se ha abordado en Firefox 136.0.4, Firefox ESR 115.21.1 y Firefox ESR 128.8.1. No hay evidencia de que CVE-2025-2857 haya sido explotado en la naturaleza.
El proyecto TOR también ha enviado una actualización de seguridad para el navegador TOR (versión 14.0.8) para abordar el mismo problema para los usuarios de Windows.
El desarrollo se produce cuando Google lanzó Chrome versión 134.0.6998.177/.178 para que Windows arregle CVE-2025-2783, que ha sido explotado en la naturaleza como parte de los ataques dirigidos a medios de comunicación, instituciones educativas y organizaciones gubernamentales en Rusia.
Kaspersky, que detectó la actividad a mediados de marzo de 2025, dijo que la infección ocurrió después de que las víctimas no especificadas hicieron clic en un enlace especialmente elaborado en correos electrónicos de phishing y el sitio web controlado por el atacante se abrió utilizando Chrome.
Se dice que CVE-2025-2783 fue encadenado junto con otro exploit desconocido en el navegador web para salir de los límites del sandbox y lograr la ejecución del código remoto. Dicho esto, parchear el error bloquea efectivamente toda la cadena de ataque.
Desde entonces, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha agregado el defecto a su conocido catálogo de vulnerabilidades explotadas (KEV), lo que requiere que las agencias federales apliquen las mitigaciones necesarias para el 17 de abril de 2025.
Se recomienda a los usuarios que actualicen las instancias de su navegador a las últimas versiones para salvaguardar contra posibles riesgos.