(Фото Али Баликчи/Anadolu Agency/Getty Images)
Mozilla предупреждает, что опасная атака нулевого дня на браузер Google Chrome также работает в Firefox. Атака, в которой используется уязвимость CVE-2025-2783, вынудила Google срочно выпустить обновление для пользователей Chrome на Windows. В четверг Mozilla выпустила собственное обновление, несмотря на то, что Firefox использует собственный браузерный движок, а не Chromium от Google.
Эта проблема вызывает удивление, поскольку Google объяснил уязвимость логической ошибкой, связанной с «неопределёнными обстоятельствами в Mojo» — языке программирования, доступном для Windows. Но в сообщении в блоге компания Mozilla предупредила, что CVE-2025-2783 также представляет угрозу для пользователей Firefox после обнаружения уязвимости с аналогичными характеристиками.
В частности, CVE-2025-2783 позволяет хакеру удалённо выйти за пределы «песочницы» браузера — уровня безопасности, предназначенного для изоляции вредоносных процессов.
«После выхода из песочницы в CVE-2025-2783 различные разработчики Firefox обнаружили аналогичную закономерность в нашем коде межпроцессного взаимодействия», — написала компания. Межпроцессное взаимодействие — это межпроцессная коммуникация, механизм, который Windows использует для обмена данными между приложениями.
Таким образом, похоже, что уязвимость связана скорее с внутренними процессами в Windows, чем с языком программирования Mojo. Mozilla добавила: «Злоумышленники смогли заставить родительский процесс передавать дескрипторы непривилегированным дочерним процессам, что привело к выходу из песочницы».
Опасность грозит только пользователям Firefox в Windows. Компания выпустила исправления для Firefox 136.0.4, Firefox ESR 115.21.1 и Firefox ESR 128.8.1.
Тем временем Microsoft Edge и браузер Brave, которые используют движок Google Chromium, также выпустили патчи для CVE-2025-2783.
Поставщик антивирусного ПО «Лаборатория Касперского» предупреждает, что уязвимость была недавно использована для доставки шпионского ПО российским пользователям через фишинговые электронные письма. Жертвам нужно было всего лишь перейти по вредоносной ссылке в письме, чтобы атака началась. «Лаборатория Касперского» планирует опубликовать более подробную информацию об атаке, как только обновление Chrome станет доступно большинству пользователей.
Тем не менее компании удалось восстановить только вторую стадию атаки, а не первую, которая позволяет удалённо выполнять вредоносный компьютерный код в Chrome. Тем не менее, по словам «Лаборатории Касперского», патч Google должен свести на нет всю цепочку атак.
