A Mozilla lançou uma atualização de segurança crítica para o navegador Firefox no Windows, corrigindo uma falha semelhante à explorada recentemente como zero-day no Google Chrome. A vulnerabilidade, registrada como CVE-2025-2857, trata-se de um manuseio incorreto de permissões que pode permitir a quebra do sandbox e, com isso, a execução de código fora do ambiente seguro do navegador. Segundo a Mozilla, a falha foi identificada após a divulgação do bug no Chrome (CVE-2025-2783), que já vinha sendo explorado ativamente.

Desenvolvedores do Firefox observaram um padrão semelhante no código de comunicação entre processos (IPC) do navegador. A falha permitiria que um processo filho comprometido induzisse o processo pai a fornecer um identificador com permissões indevidas, possibilitando a fuga do sandbox. A vulnerabilidade afeta as versões padrão e corporativa (ESR) do Firefox. A correção foi incluída nas versões Firefox 136.0.4, Firefox ESR 115.21.1 e ESR 128.8.1. Não há evidências de exploração ativa dessa falha no Firefox até o momento. O Tor Project também atualizou o navegador Tor para a versão 14.0.8 no Windows, corrigindo o mesmo problema.

A atualização da Mozilla ocorre dias após o Google corrigir o CVE-2025-2783, utilizado em ataques direcionados contra veículos de imprensa, instituições educacionais e órgãos governamentais na Rússia. De acordo com a Kaspersky, os ataques começaram com e-mails de phishing que redirecionavam as vítimas para sites maliciosos, explorando a falha para escapar do sandbox do Chrome e executar código remotamente. O CVE-2025-2783 foi adicionado ao catálogo de vulnerabilidades ativamente exploradas (KEV) da CISA, e agências federais dos EUA devem aplicar as correções até 17 de abril de 2025. Usuários do Firefox são fortemente recomendados a atualizar seus navegadores para a versão mais recente e manter práticas de navegação seguras.