Розробники Mozilla випустили Firefox 136.0.4, у якій виправили критичну вразливість, що дає змогу здійснити втечу з пісочниці браузера в Windows-системах.

Вразливість було виявлено розробником Mozilla Ендрю МакКрейтом (Andrew McCreight), вона отримала ідентифікатор CVE-2025-2857. Вона описується як проблема «некоректної обробки, яка може призвести до втечі з пісочниці».

Уразливість зачіпає останні версії Firefox зі стандартною і розширеною підтримкою (ESR), призначені для організацій. Mozilla усунула недолік у Firefox версії 136.0.4 і Firefox ESR версій 115.21.1 і 128.8.1.

Хоча в Mozilla не повідомляють жодних технічних подробиць про CVE-2025-2857, в організації зазначили, що вразливість схожа на свіжий 0-day баг у Google Chrome – CVE-2025-2783, який було виправлено раніше цього тижня і який уже застосовували хакери в атаках.

Нагадаємо, що про оригінальну вразливість CVE-2025-2783 цього тижня розповіли дослідники «Лабораторії Касперського», і вони ж повідомили про загрозу розробників Google.

За даними дослідників, уразливість була пов’язана з APT-операцією «Форумний троль», яка націлена на російські ЗМІ, освітні установи та урядові організації.

Фахівці розповідали, що цей експлоїт виявився одним із найцікавіших з усіх, з якими їм доводилося стикатися. А вразливість CVE-2025-2783 змусила їх поламати голову, оскільки давала змогу легко обійти захист пісочниці Google Chrome без якихось очевидно шкідливих або заборонених дій, ніби її взагалі не існувало.