Firefox נפגע על ידי ליקוי אבטחה קריטי המהדהד את Chrome Zero-Day בשימוש במתקפות סייבר רוסיות

מוזילה פרסמה תיקון אבטחה דחוף עבור Firefox לאחר שגילתה שפגיעות קריטית - בדומה ל-Chrome Zero-day שניצל לאחרונה - קיימת גם בקוד הדפדפן שלה. הפגם החדש הזה ב-Firefox, שנמצא כעת במעקב כ-CVE-2025-2857, מהווה איום רציני על המשתמשים, במיוחד במערכות Windows.

Flaw Mirrors Chrome Zero-Day בשימוש בהתקפות ממוקדות

החשיפה מגיעה ימים ספורים לאחר שגוגל תיקנה את CVE-2025-2783, פגיעות חמורה של Chrome שניצלה באופן פעיל בטבע. הפגם, שהתגלה ודווח על ידי חברת אבטחת הסייבר קספרסקי, היה חלק ממסע פרסום ממוקד שכוון לתקשורת הרוסית, מוסדות חינוך וסוכנויות ממשלתיות. התוקפים הצליחו להימלט מההגנות על ארגז החול של Chrome, תכונת אבטחה מרכזית שנועדה לבודד תהליכים ולמנוע פגיעה מלאה במערכת.

לפי קספרסקי, הניצול היה ככל הנראה בשימוש מאז אמצע מרץ 2025, והוא נוצל לצד פגיעות נוספת, לא מזוהה, לביצוע קוד מרחוק. מסע התקיפה, שזכה לכינוי Operation ForumTroll, השתמש בהזמנות מזויפות לפורום מדעי כפיתיון דיוג - טריק הנדסי חברתי קלאסי שהוכיח את עצמו כיעיל נגד יעדים בעלי ערך גבוה.

מוזילה מגיבה עם תיקון Firefox

בתגובה לחשיפת הפגיעות של כרום, מפתחי מוזילה ערכו חקירה משלהם וגילו שקיימת בעיה דומה בקוד ה-Inter-Process Communication (IPC) של Firefox. הבאג של Firefox כרוך גם בניהול ידיות שגוי, מה שעלול לאפשר לתהליך ילד שנפגע להערים על תהליך האב להחזיר ידית אחיזה חזקה יותר מהמתוכנן. זה פותח את הדלת לבריחה פוטנציאלית לארגז חול - כשל אבטחה חמור שעלול לאפשר לתוקפים להסלים את ההרשאות שלהם או לסכן רכיבי מערכת נוספים.

מוזילה אישרה שפגיעות זו משפיעה רק על Firefox בפלטפורמות של Windows. הבעיה נפתרה בעדכוני Firefox הבאים:

• Firefox 136.0.4
• Firefox ESR 128.8.1
• Firefox ESR 115.21.1

דפדפן Tor, המבוסס על פיירפוקס, עודכן אף הוא כדי לטפל בפגם.

לא אושרו ניצול Firefox - עדיין

בעוד שגוגל אישרה שהפגיעות של Chrome נוצלה באופן פעיל בהתקפות סייבר, מוזילה עדיין לא ראתה ראיות לכך שהגרסה של Firefox שימשה בטבע. ובכל זאת, החברה עברה במהירות לתקן את הנושא, מתוך זיהוי הפוטנציאל להתעללות - במיוחד לאור האופי הגבוה של גורמי האיום המעורבים במבצע ForumTroll.

השלכות רחבות יותר על פני דפדפנים

הפגיעות של Chrome נוספה מאז לקטלוג Known Exploited Vulnerabilities (KEV) של CISA, רשימה השמורה לפגמים המסוכנים ביותר שאושרו לשימוש בהתקפות בעולם האמיתי. CISA גם הזהירה שדפדפנים אחרים מבוססי Chromium - כולל Microsoft Edge ו-Opera - עלולים להיות מושפעים מפגמים דומים. מיקרוסופט כבר פרסמה ייעוץ משלה בתגובה.

למרות שפיירפוקס ממוקד פחות מ-Chrome, הוא אינו חסין. במהלך העשור האחרון, תוקפים ניצלו יותר מתריסר נקודות תורפה משמעותיות בדפדפן. בסוף נובמבר 2024, למשל, חברת אבטחת הסייבר ESET חשפה שקבוצת APT רוסית שרשרת אפס ימים ב-Firefox וגם ב-Windows כדי לפרוס דלת אחורית חמקנית.

מה על משתמשי Firefox לעשות

אם אתה משתמש ב-Firefox ב-Windows, עליך לעדכן את הדפדפן שלך מיד לאחת מהגרסאות המתוקנות המפורטות למעלה. משתמשים בדפדפן Tor צריכים גם לוודא שהם מריצים את הגרסה העדכנית ביותר. למרות שלא אושרו התקפות פיירפוקס פעילות, הסיכון הנשקף מ-CVE-2025-2857 הוא רציני מספיק כדי להצדיק פעולה דחופה.

כפי שמראה אירוע זה, פגיעויות של יום אפס יכולות לחצות את גבולות הדפדפן, ותוקפים ממהרים להתאים את השיטות שלהם. הישארות קדימה פירושה לשמור על התוכנה שלך מעודכנת ולהישאר זהיר לגבי לחיצה על קישורים חשודים - לא משנה כמה לגיטימיים הם נראים.