Firefox 遭遇嚴重安全漏洞，與俄羅斯網路攻擊中利用的 Chrome 零日漏洞相似

Mozilla 在發現 Firefox 瀏覽器程式碼中也存在一個嚴重漏洞（類似於最近被利用的 Chrome 零日漏洞）後，發布了針對 Firefox 的緊急安全修復程序。這個新的 Firefox 漏洞（目前編號為 CVE-2025-2857）對使用者構成了嚴重威脅，尤其是 Windows 系統使用者。

漏洞與 Chrome 零日漏洞類似，用於針對性攻擊

就在谷歌修補 CVE-2025-2783 幾天后，這一消息被曝光，該漏洞是一個嚴重的 Chrome 漏洞，曾在野外被積極利用。該漏洞由網路安全公司卡巴斯基發現並報告，是針對俄羅斯媒體、教育機構和政府機構的攻擊活動的一部分。攻擊者能夠逃脫 Chrome 的沙盒保護，這是一項旨在隔離進程和防止整個系統受到損害的關鍵安全功能。

據卡巴斯基稱，該漏洞很可能自 2025 年 3 月中旬就開始使用，並與另一個未識別的漏洞一起用於執行遠端程式碼。這次攻擊活動被稱為“論壇巨魔行動”，利用虛假的科學論壇邀請作為網絡釣魚誘餌——這是一種經典的社會工程手段，被證明對高價值目標非常有效。

Mozilla 發布 Firefox 補丁以回應

為了回應 Chrome 的漏洞揭露，Mozilla 開發人員進行了自己的調查，發現 Firefox 的進程間通訊 (IPC) 程式碼中也存在類似的問題。 Firefox 漏洞還涉及不正確的句柄管理，這可能允許受損的子進程欺騙父進程返回比預期更強大的句柄。這為潛在的沙盒逃逸打開了大門——這是一個嚴重的安全漏洞，可能會讓攻擊者提升權限或危害其他系統元件。

Mozilla 確認漏洞僅影響 Windows 平台上的 Firefox。此問題已在以下 Firefox 更新中解決：

• Firefox 136.0.4
• Firefox ESR 128.8.1
• Firefox ESR 115.21.1

基於 Firefox 的 Tor 瀏覽器也已更新以修復漏洞。

目前尚未確認存在 Firefox 漏洞

儘管Google證實 Chrome 漏洞在網路攻擊中被積極利用，但 Mozilla 尚未看到 Firefox 變體在野外被使用的證據。儘管如此，該公司認識到濫用的可能性，特別是考慮到參與「論壇巨魔行動」的威脅行為者的高調性質，還是迅速採取行動修復了這個問題。

跨瀏覽器的更廣泛影響

Chrome 漏洞已被添加到 CISA 的已知被利用漏洞 (KEV) 目錄中，該清單專門列出已確認在實際攻擊中使用的最危險漏洞。 CISA 還警告稱，其他基於 Chromium 的瀏覽器（包括 Microsoft Edge 和 Opera）可能會受到類似漏洞的影響。微軟已經發布了自己的回應公告。

儘管 Firefox 受到的攻擊頻率不如 Chrome，但它也無法倖免。在過去十年中，攻擊者利用了瀏覽器中十多個重大漏洞。例如，2024 年 11 月下旬，網路安全公司 ESET 透露，一個俄羅斯 APT 組織利用 Firefox 和 Windows 中的零日漏洞部署了隱密後門。

Firefox 用戶應該做什麼

如果您在 Windows 上使用 Firefox，則應立即將瀏覽器更新為上面列出的修補版本之一。 Tor 瀏覽器的使用者也應確保他們運行的是最新版本。儘管尚未確認存在任何主動的 Firefox 攻擊，但 CVE-2025-2857 帶來的風險已嚴重到需要採取緊急行動。

正如此次事件所示，零時差漏洞可以跨越瀏覽器界限，而且攻擊者可以迅速調整其攻擊方法。保持領先意味著保持軟體更新，並謹慎點擊可疑連結 - 無論它們看起來多麼合法。