Firefox pogođen kritičnom sigurnosnom greškom poput Chromea Zero-Day koji se koristio u ruskim kibernetičkim napadima
Mozilla je izdala hitan sigurnosni popravak za Firefox nakon što je otkrila da kritična ranjivost—slična nedavno iskorištenom Chrome zero-day—također postoji u kodu preglednika. Ova nova greška u Firefoxu, koja se sada prati kao CVE-2025-2857, predstavlja ozbiljnu prijetnju korisnicima, posebno na Windows sustavima.
Sadržaj
Greška odražava Chrome Zero-Day koji se koristi u ciljanim napadima
Otkriće dolazi samo nekoliko dana nakon što je Google zakrpao CVE-2025-2783, ozbiljnu ranjivost Chromea koja se aktivno iskorištavala u divljini. Greška, koju je otkrila i prijavila tvrtka za kibernetičku sigurnost Kaspersky, bila je dio ciljane kampanje usmjerene na ruske medije, obrazovne ustanove i vladine agencije. Napadači su uspjeli pobjeći Chromeovoj zaštiti sandboxa, ključnoj sigurnosnoj značajci osmišljenoj za izolaciju procesa i sprječavanje potpunog ugrožavanja sustava.
Prema Kasperskyju, eksploatacija je vjerojatno bila u upotrebi od sredine ožujka 2025., a iskorištena je zajedno s drugom, neidentificiranom ranjivošću za izvršavanje udaljenog koda. Kampanja napada, nazvana Operation ForumTroll, koristila je lažne pozivnice za znanstveni forum kao mamac za krađu identiteta — klasični trik društvenog inženjeringa koji se pokazao učinkovitim protiv meta visoke vrijednosti.
Mozilla odgovara zakrpom za Firefox
Kao odgovor na Chromeovo otkrivanje ranjivosti, Mozillini programeri proveli su vlastitu istragu i otkrili da sličan problem postoji u međuprocesnom komunikacijskom (IPC) kodu Firefoxa. Greška u Firefoxu također uključuje neispravno upravljanje ručicama, što bi moglo omogućiti kompromitiranom podređenom procesu da prevari nadređeni proces da vrati snažniju oznaku od predviđene. Ovo otvara vrata potencijalnom bijegu iz sandboxa - ozbiljnom sigurnosnom propustu koji bi mogao omogućiti napadačima da povećaju svoje privilegije ili ugroze dodatne komponente sustava.
Mozilla je potvrdila da ova ranjivost utječe samo na Firefox na Windows platformama. Problem je riješen u sljedećim ažuriranjima Firefoxa:
- Firefox 136.0.4
- Firefox ESR 128.8.1
- Firefox ESR 115.21.1
Preglednik Tor, koji se temelji na Firefoxu, također je ažuriran kako bi riješio problem.
Nema potvrđenih eksploatacija Firefoxa — još
Dok je Google potvrdio da je ranjivost Chromea aktivno iskorištena u kibernetičkim napadima, Mozilla još nije vidjela dokaze da je varijanta Firefoxa korištena u divljini. Ipak, tvrtka je brzo krenula kako bi zakrpala problem, prepoznajući potencijal za zlouporabu—posebno s obzirom na visokoprofilnu prirodu prijetnji uključenih u operaciju ForumTroll.
Šire implikacije na sve preglednike
Ranjivost Chromea je od tada dodana u CISA-in katalog poznatih iskorištenih ranjivosti (KEV), popis rezerviran za najopasnije nedostatke za koje je potvrđeno da se koriste u napadima u stvarnom svijetu. CISA je također upozorila da bi drugi preglednici temeljeni na Chromiumu — uključujući Microsoft Edge i Operu — mogli biti pogođeni sličnim nedostacima. Microsoft je već izdao svoje savjete kao odgovor.
Iako je Firefox rjeđe meta nego Chrome, nije imun. Tijekom prošlog desetljeća napadači su iskoristili više od desetak značajnih ranjivosti u pregledniku. Krajem studenog 2024., na primjer, tvrtka za kibernetičku sigurnost ESET otkrila je da je ruska APT grupa vezala zero-days u Firefoxu i Windowsu kako bi postavila skrivena stražnja vrata.
Što bi korisnici Firefoxa trebali učiniti
Ako koristite Firefox u sustavu Windows, trebali biste odmah ažurirati svoj preglednik na jednu od gore navedenih verzija sa zakrpama. Korisnici Tor preglednika također bi trebali osigurati da koriste najnoviju verziju. Iako nisu potvrđeni aktivni napadi Firefoxa, rizik koji predstavlja CVE-2025-2857 dovoljno je ozbiljan da zahtijeva hitnu akciju.
Kao što pokazuje ovaj incident, ranjivosti nultog dana mogu prijeći granice preglednika, a napadači brzo prilagođavaju svoje metode. Biti u prednosti znači ažurirati svoj softver i biti oprezan pri klikanju na sumnjive poveznice – bez obzira koliko se legitimne činile.