Tinamaan ang Firefox ng Critical Security Flaw Echoing Chrome Zero-Day na Ginamit sa Russian Cyberattacks
Nag-isyu ang Mozilla ng agarang pag-aayos sa seguridad para sa Firefox matapos matuklasan na ang isang kritikal na kahinaan—katulad ng isang kamakailang pinagsamantalang Chrome zero-day—ay umiiral din sa browser code nito. Ang bagong flaw ng Firefox na ito, na sinusubaybayan na ngayon bilang CVE-2025-2857, ay nagdudulot ng malubhang banta sa mga user, partikular sa mga Windows system.
Talaan ng mga Nilalaman
Mga Flaw Mirrors Chrome Zero-Day na Ginamit sa Mga Naka-target na Pag-atake
Dumating ang paghahayag ilang araw lamang pagkatapos na i-patch ng Google ang CVE-2025-2783, isang matinding kahinaan sa Chrome na aktibong pinagsamantalahan sa ligaw. Ang kapintasan, na natuklasan at iniulat ng cybersecurity firm na Kaspersky, ay bahagi ng isang naka-target na kampanya na naglalayong sa Russian media, mga institusyong pang-edukasyon at mga ahensya ng gobyerno. Nakatakas ang mga umaatake sa mga proteksyon ng sandbox ng Chrome, isang pangunahing tampok sa seguridad na idinisenyo upang ihiwalay ang mga proseso at maiwasan ang ganap na kompromiso sa system.
Ayon sa Kaspersky, ang pagsasamantala ay malamang na ginagamit mula noong kalagitnaan ng Marso 2025, at ginamit kasama ng isa pa, hindi natukoy na kahinaan upang magsagawa ng malayuang code. Ang kampanya sa pag-atake, na tinawag na Operation ForumTroll, ay gumamit ng mga pekeng imbitasyon sa isang siyentipikong forum bilang phishing bait—isang klasikong social engineering trick na napatunayang epektibo laban sa mga target na may mataas na halaga.
Tumugon ang Mozilla gamit ang Firefox Patch
Bilang tugon sa pagsisiwalat ng kahinaan ng Chrome, nagsagawa ang mga developer ng Mozilla ng kanilang sariling pagsisiyasat at nalaman na may katulad na isyu ang umiiral sa Inter-Process Communication (IPC) code ng Firefox. Ang Firefox bug ay nagsasangkot din ng maling pamamahala sa paghawak, na maaaring magpapahintulot sa isang nakompromisong proseso ng bata na linlangin ang proseso ng magulang sa pagbabalik ng mas malakas na hawakan kaysa sa nilalayon. Binubuksan nito ang pinto sa isang potensyal na pagtakas sa sandbox—isang matinding paglipas ng seguridad na maaaring hayaan ang mga umaatake na palakihin ang kanilang mga pribilehiyo o ikompromiso ang mga karagdagang bahagi ng system.
Kinumpirma ng Mozilla na ang kahinaang ito ay nakakaapekto lamang sa Firefox sa mga platform ng Windows. Ang isyu ay nalutas sa sumusunod na mga update sa Firefox:
- Firefox 136.0.4
- Firefox ESR 128.8.1
- Firefox ESR 115.21.1
Ang Tor Browser, na batay sa Firefox, ay na-update din upang matugunan ang kapintasan.
Walang Kumpirmadong Pagsasamantala sa Firefox—Pa
Habang kinumpirma ng Google na ang kahinaan ng Chrome ay aktibong pinagsamantalahan sa cyberattacks, ang Mozilla ay hindi pa nakakakita ng ebidensya na ang variant ng Firefox ay ginamit sa ligaw. Gayunpaman, mabilis na kumilos ang kumpanya upang i-patch ang isyu, na kinikilala ang potensyal para sa pang-aabuso-lalo na dahil sa mataas na profile na katangian ng mga aktor ng pagbabanta na kasangkot sa Operation ForumTroll.
Mas Malawak na Implikasyon sa Mga Browser
Ang kahinaan ng Chrome ay naidagdag na sa Catalog ng Known Exploited Vulnerabilities (KEV) ng CISA, isang listahan na nakalaan para sa pinakamapanganib na mga depekto na nakumpirmang gagamitin sa mga pag-atake sa totoong mundo. Nagbabala rin ang CISA na ang iba pang mga browser na nakabatay sa Chromium—kabilang ang Microsoft Edge at Opera—ay maaaring maapektuhan ng mga katulad na bahid. Ang Microsoft ay naglabas na ng sarili nitong advisory bilang tugon.
Bagama't hindi gaanong madalas na na-target ang Firefox kaysa sa Chrome, hindi ito immune. Sa nakalipas na dekada, pinagsamantalahan ng mga umaatake ang higit sa isang dosenang makabuluhang kahinaan sa browser. Noong huling bahagi ng Nobyembre 2024, halimbawa, inihayag ng cybersecurity firm na ESET na ang isang Russian APT group ay nag-chain ng zero-days sa Firefox at Windows para mag-deploy ng isang patagong backdoor.
Ano ang Dapat Gawin ng Mga Gumagamit ng Firefox
Kung gumagamit ka ng Firefox sa Windows, dapat mong i-update kaagad ang iyong browser sa isa sa mga naka-patch na bersyon na nakalista sa itaas. Dapat ding tiyakin ng mga gumagamit ng Tor Browser na pinapatakbo nila ang pinakabagong bersyon. Bagama't walang aktibong pag-atake sa Firefox ang nakumpirma, ang panganib na dulot ng CVE-2025-2857 ay sapat na seryoso upang matiyak ang agarang aksyon.
Tulad ng ipinapakita ng insidenteng ito, ang mga kahinaan ng zero-day ay maaaring tumawid sa mga hangganan ng browser, at mabilis na iangkop ng mga umaatake ang kanilang mga pamamaraan. Nangangahulugan ang pananatiling nauuna sa pagpapanatiling na-update ang iyong software at manatiling maingat tungkol sa pag-click sa mga kahina-hinalang link—gaano man ang hitsura ng mga ito na lehitimo.