【安全资讯】Mozilla警告Windows用户存在严重的Firefox沙箱逃逸漏洞

概要：

Mozilla近日发布了Firefox 136.0.4版本，以修复一个严重的安全漏洞，该漏洞可能允许攻击者在Windows系统上逃逸浏览器的沙箱。此漏洞被追踪为CVE-2025-2857，Mozilla开发者Andrew McCreight对此进行了报告。该漏洞影响最新的Firefox标准版和为需要长期支持的组织设计的扩展支持版本（ESR）。

主要内容：

该安全漏洞被描述为“错误的句柄可能导致沙箱逃逸”，Mozilla在其周四的公告中指出，攻击者能够通过混淆父进程，使其泄露句柄到不具特权的子进程中，从而实现沙箱逃逸。虽然Mozilla没有分享CVE-2025-2857的技术细节，但表示该漏洞与本周早些时候被Google修复的Chrome零日漏洞相似。

此外，Mozilla在十月还修复了一个被俄罗斯黑客组织RomCom利用的零日漏洞（CVE-2024-9680），该漏洞允许攻击者在Firefox沙箱中执行代码。攻击者通过诱骗受害者访问一个控制的网站，下载并执行RomCom后门程序。此类事件表明，网络攻击者正利用浏览器漏洞进行复杂的网络间谍活动，影响范围广泛，尤其是针对政府和媒体机构。

Mozilla的这一系列修复措施显示了网络安全领域的持续挑战，尤其是在浏览器安全性方面。用户应及时更新浏览器，以防止潜在的安全威胁。