Логотип exploitDog
Консоль
Логотип exploitDog

exploitDog

fstec логотип

BDU:2025-03530

Опубликовано: 27 мар. 2025
Источник: fstec
CVSS3: 10
CVSS2: 10
EPSS Низкий

Описание

Уязвимость механизма межпроцессорного взаимодействия (IPC) браузера Mozilla Firefox связана с некорректной обработкой дескрипторов. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, обойти существующие ограничения безопасности и выполнить произвольный код

Вендор

Mozilla Corp.

Наименование ПО

Firefox
Firefox ESR

Версия ПО

до 136.0.4 (Firefox)
до 128.8.1 (Firefox ESR)
до 115.21.1 (Firefox ESR)

Тип ПО

Прикладное ПО информационных систем

Операционные системы и аппаратные платформы

-

Уровень опасности уязвимости

Критический уровень опасности (базовая оценка CVSS 2.0 составляет 10)
Критический уровень опасности (базовая оценка CVSS 3.0 составляет 10)

Возможные меры по устранению уязвимости

Установка обновлений из доверенных источников. В связи со сложившейся обстановкой и введенными санкциями против Российской Федерации рекомендуется устанавливать обновления программного обеспечения только после оценки всех сопутствующих рисков.
Компенсирующие меры:
- ограничение возможности выполнения системных вызовов «недоверенной» программой;
- использование антивирусного программного обеспечения для предотвращения попыток эксплуатации уязвимости;
- использование средств обнаружения и предотвращения вторжений (IDS/IPS) для выявления и реагирования на попытки эксплуатации уязвимости;
- использование альтернативных браузеров.
Использование рекомендаций:
https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/

Статус уязвимости

Подтверждена производителем

Наличие эксплойта

Существует в открытом доступе

Информация об устранении

Уязвимость устранена

Ссылки на источники

Идентификаторы других систем описаний уязвимостей

EPSS

Процентиль: 15%
0.0005
Низкий

10 Critical

CVSS3

10 Critical

CVSS2

Связанные уязвимости

redhat логотип

CVE-2025-2857

redhat
3 месяца назад

Following the recent Chrome sandbox escape (CVE-2025-2783), various Firefox developers identified a similar pattern in our IPC code. A compromised child process could cause the parent process to return an unintentionally powerful handle, leading to a sandbox escape. The original vulnerability was being exploited in the wild. *This only affects Firefox on Windows. Other operating systems are unaffected.* This vulnerability affects Firefox < 136.0.4, Firefox ESR < 128.8.1, and Firefox ESR < 115.21.1.

nvd логотип

CVE-2025-2857

CVSS3: 10
nvd
3 месяца назад

Following the recent Chrome sandbox escape (CVE-2025-2783), various Firefox developers identified a similar pattern in our IPC code. A compromised child process could cause the parent process to return an unintentionally powerful handle, leading to a sandbox escape. The original vulnerability was being exploited in the wild. *This only affects Firefox on Windows. Other operating systems are unaffected.* This vulnerability affects Firefox < 136.0.4, Firefox ESR < 128.8.1, and Firefox ESR < 115.21.1.

debian логотип

CVE-2025-2857

CVSS3: 10
debian
3 месяца назад

Following the recent Chrome sandbox escape (CVE-2025-2783), various Fi ...

github логотип

GHSA-h8g5-2596-xjh9

CVSS3: 10
github
3 месяца назад

Following the sandbox escape in CVE-2025-2783, various Firefox developers identified a similar pattern in our IPC code. Attackers were able to confuse the parent process into leaking handles to unprivileged child processes leading to a sandbox escape. The original vulnerability was being exploited in the wild. *This only affects Firefox on Windows. Other operating systems are unaffected.* This vulnerability affects Firefox < 136.0.4, Firefox ESR < 128.8.1, and Firefox ESR < 115.21.1.

EPSS

Процентиль: 15%
0.0005
Низкий

10 Critical

CVSS3

10 Critical

CVSS2