漏洞名称:
Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857)
组件名称:
Mozilla Firefox
影响范围:
Firefox < 136.0.4Firefox ESR < 115.21.1Firefox ESR < 128.8.1
漏洞类型:
沙箱逃逸
利用条件:
1、用户认证:不需要用户认证
2、前置条件:默认配置
3、触发方式:远程
综合评价:
<综合评定利用难度>:容易,无需授权即可造成远程代码执行。
<综合评定威胁等级>:高危,能导致远程代码执行。
官方解决方案:
已发布
漏洞分析
组件介绍
Mozilla Firefox,是一个由Mozilla开发的自由及开放源代码的网页浏览器。
漏洞简介
2025年3月28日,深瞳漏洞实验室监测到一则Mozilla-firefox组件存在沙箱逃逸漏洞的信息,漏洞编号:CVE-2025-2857,漏洞威胁等级:严重。
该漏洞与CVE-2025-2857原理类似,也源于句柄管理不善,无意中授予了无权限子进程的高级访问权限,使它们能够逃出浏览器沙箱并执行任意代码,导致服务器失陷。 该漏洞只影响Windows系统,其他系统不受影响。
影响范围
目前受影响的Mozilla-firefox版本:
Firefox < 136.0.4Firefox ESR < 115.21.1Firefox ESR < 128.8.1
解决方案
如何检测组件系统版本
在浏览器中,依次点击设置——帮助——关于Firefox,查看当前版本号。
官方修复建议
官方已发布最新版本修复该漏洞,建议受影响的Windows客户将Firefox更新到以下版本:Firefox 136.0.4Firefox ESR 115.21.1Firefox ESR 128.8.1下载链接:https://www.firefox.com.cn/
深信服解决方案
风险资产发现
支持对Mozilla-firefox的主动检测,可批量检出业务场景中该事件的受影响资产情况,相关产品如下:
【深信服统一端点安全管理系统aES】 已发布资产检测方案,指纹ID:0000322。
参考链接
https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/#CVE-2025-2857
时间轴
2025/3/28
深瞳漏洞实验室监测到Mozilla Firefox 沙箱逃逸漏洞信息。
2025/3/28
深瞳漏洞实验室发布漏洞通告。
点击阅读原文,
原文始发于微信公众号(深信服千里目安全技术中心):【漏洞通告】Mozilla Firefox 沙箱逃逸漏洞(CVE-2025-2857)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论