Firefox 存在严重漏洞,类似于 Chrome 已遭利用0day

于 2025-03-28 17:41:07 发布
阅读量534 收藏
点赞数
文章标签: firefox chrome 前端
原文链接:https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247522612&idx=2&sn=50c7ad88e87b485a09c7ae916f9d9677&chksm=ebcfe23b5345b7338f85bf00087f2832c30a6a532e23fe8e7250fa26add6fb9b13ca18a58c85&scene=126&sessionid=0
版权

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Mozilla 公司发布更新,修复了影响其 Firefox Windows 版本的一个严重漏洞,而该漏洞与此前已遭利用的 Chrome 0day类似。

Mozilla 公司修复的漏洞编号是CVE-2025-2857,是一个不正确的句柄,可导致沙箱逃逸。Mozilla 在安全公告中提到,“根据最近的Chrome 沙箱逃逸漏洞 (CVE-2025-2783),多名Firefox 开发人员在我们的IPC(进程间通信)代码中发现了一个类似模式。受攻陷的子进程可导致父进程返回预期之外的强大句柄,从而导致沙箱逃逸。”

该漏洞影响 Firefox 和 Firefox ESR,已在Firefox 136.0.4、Firefox ESR 115.21.1和Firefox ESR 128.8.1中修复,未有证据表明该漏洞已遭在野利用。

此前不久,谷歌发布Chrome 134.0.6998.177/.178 Windows 版本,修复漏洞CVE-2025-2783。该漏洞已遭在野利用,是针对俄罗斯新闻媒体、教育机构和政府组织机构开展的攻击的一部分。卡巴斯基在2025年3月中旬检测到该攻击,并提到感染发生在受害者点击钓鱼邮件中特殊构造链接,通过Chrome 打开受攻击者控制的网站后发生。

据称,CVE-2025-2783与Chrome 浏览器中的一个未知利用组合用于突破沙箱限制并实现远程代码执行后果。修复该漏洞有效地拦截了整个攻击链。美国CISA之后将漏洞纳入必修清单,要求联邦机构在4月17日之前应用必要的缓解措施。

建议用户将浏览器实例更新至最新版本,阻止潜在风险。

代码卫士试用地址:https://codesafe.qianxin.com

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

Chrome 修复 Lens 特性中的严重 UAF 漏洞

多个Chrome扩展在供应链攻击中遭攻陷

谷歌紧急修复已遭利用的0day

Chrome 131 更新修复高危内存安全漏洞,其中1个获奖5.5万美元

谷歌修复由苹果报送的严重 Chrome 漏洞

原文链接

https://thehackernews.com/2025/03/mozilla-patches-critical-firefox-bug.html

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "赞” 吧~

【CVE-2025-0282】漏洞分析与远程代码执行利用策略
weixin_47075747的博客
01-17 742
虽然Ivanti通告指出尚未发现CVE-2025-0283被利用,但恰好是与CVE-2025-0282一起修复了本地权限提升漏洞,而CVE-2025-0282是一个利用远程代码执行的漏洞,且具有限制性权限。我们确认,RCE是可行的,但需要成功绕过地址空间布局随机化(ASLR),通过猜测共享库的正确32位基址,特别是。2025年1月10日,安全公司watchTowr发布了一篇博客,详细阐述了CVE-2025-0282的根本原因,并跟进发布了另一篇博客,介绍了实现远程代码执行(RCE)的利用策略。
0day漏洞挖掘实战
悦分享
10-04 226
阅读代码可知,ebp-98h存储的是一个已经释放的元素的Pointer,但是代码未经校验就把这个地址传给了CMarkupPointer的构造函数,而且由此生成了一个指向空元素的CMarkupPointer*。由于栈的空间是有限的,而函数在调用时会将返回地址、参数、局部变量等内容写入栈空间,一旦函数出现了过多层数的函数调用(一个容易理解且典型的例子便是递归时出现死循环),那么栈空间便会在短时间内耗尽,并抛出0xc00000fd栈溢出错误。但是由于这段代码结构简单,含义明确,因此可以作为一个较好的练手代码。
Firefox出现大漏洞 黑客恐取得系统层权限执行任何指令
mondy1989的博客
02-02 1270
Mozilla发出安全公告揭露Firefox56到58版存在一个能让未经验证的远程攻击者在受害系统上执行程序代码的漏洞。Mozilla已经释出更新版Firefox解决问题。 文章出自:SBF999胜博发娱乐时代 http://www.iselex.com/ 这项编号为CVE-2018-5124的漏洞是由Mozilla研究人员Johann Hofmann通报,它存在Firefox
谷歌Chrome浏览器零日漏洞黑客大规模利用
FreeBuf_的博客
03-27 1047
卡巴斯基网络安全研究人员发现高级威胁攻击者正在利用Chrome浏览器零日漏洞后,谷歌已紧急发布安全更新。该漏洞编号为CVE-2025-2783,攻击者通过Chrome安全框架与Windows操作系统交互过程中的逻辑错误,成功绕过了浏览器的沙箱保护机制,致使防护措施完全失效。
Firefox 内存破坏漏洞
OSCS开源安全社区
08-25 383
Firefox 103、Firefox ESR 102.1 和 Firefox ESR 91.12 中存在内存安全漏洞,其中一些错误回显包含敏感信息,攻击者可利用漏洞执行任意代码。升级Firefox到104、Firefox ESR到102.2、Firefox ESR到91.13 或更高版本。Firefox 是一款网络浏览器。
linux对firefox权限,Mozilla Firefox 不明细节权限提升漏洞
weixin_33514163的博客
04-30 125
发布日期:2014-03-13更新日期:2014-03-14受影响系统:Mozilla Firefox描述:--------------------------------------------------------------------------------BUGTRAQ ID: 66206Firefox是一款非常流行的开源WEB浏览器。Mozilla Firefox在实现上存在不明细...
Mozilla 修复Firefox 浏览器的多个高危漏洞
smellycat000的专栏
03-17 1063
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周,Mozilla发布Firefox 111,修复了13个漏洞,其中一些是严重级别。在这13个CVE漏洞中,7个为“高危”级别,3个仅影响安卓版本的Firefox浏览器,可导致黑客隐藏全屏通知,从而导致用户混淆或欺骗攻击,并在无需提示的情况下打开第三方应用。其它高危漏洞可导致任意代码执行和信息泄露后果。Sophos 公司分析了这些补丁并着重强调...
安全狗漏洞通告:Mozilla Firefox Use-after-free漏洞解决方案
bocco的博客
03-07 2888
近日,安全狗应急响应中心监测到Mozilla发布安全公告,修复了FirefoxFirefox ESR、Firefox for Android、Focus和Thunderbird中2个被积极利用的0 day漏洞(CVE-2022-26485和CVE-2022-26486)。
脱敏版-神秘黑客组织:揭秘美国0Day攻击平台与APT实战案例.pdf
11-06
\n\n**酸狐狸0day攻击平台**\n“酸狐狸”是一个高度集成的攻击平台,拥有针对多种浏览器(如IE、FirefoxChrome、Safari和Android Webkit)的0day漏洞库。通过中间人劫持工具“二次约会”,它能在用户毫无察觉的...
Astronomy Picture of the Day扩展插件:时间和宇宙美图
6. 浏览器兼容性:虽然apodtab-crx插件专为Chrome浏览器设计(从文件扩展名CRX可以推断),但类似的功能也可能在其他主流浏览器如Firefox或Opera中以不同的扩展形式存在。 7. 用户体验:个性化的界面和丰富的天文...
攻防启示:Chromium组件风险剖析与收敛
Tencent_SRC的博客
07-15 1065
文|腾讯研发安全团队Martinzhou腾讯蓝军 Neargle、PassI. 背景数月前我们在攻防两个方向经历了一场“真枪实弹”的考验,期间团队的目光曾一度聚焦到Chromium组件上...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6012
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
Mozilla 修复已利用Firefox 0day漏洞
smellycat000的专栏
10-10 530
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士Mozilla 发布紧急安全更新,修复了 Firefox 浏览器中的一个严重的释放后使用漏洞 (CVE-2024-9680),目前该漏洞利用。该漏洞由 ESET 公司的研究员 Damien Schaeffer发现,是位于 Animation 时间线中的一个释放后使用 (UAF) 漏洞。当被释放的内存仍由程序所使用时就会发生这类漏洞,可导致恶意...
攻防死穴——钓鱼邮件为何成为企业数字护城河的终极漏洞
最新发布
企业级EML安全分析|反钓鱼|安全意识 | DeepPhish
03-28 677
网络钓鱼邮件的防御问题不是单靠一项技术就能彻底解决的,其根源在于攻击者不断利用技术漏洞的演变特性以及人类自身弱点的不可预测性,形成了一个“动态攻防不对等”的困境。
谷歌紧急修复今年第9个已利用0day
smellycat000的专栏
08-22 468
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌发布Chrome 紧急更新,修复了一个已利用0day漏洞 (CVE-2024-7971)。该漏洞是一个高危0day漏洞,由 Chrome V8 JavaScript 引擎中的一个类型混淆弱点引发。微软威胁情报中心和微软安全响应中心的研究员在本周一报送了该漏洞。尽管这类漏洞通常可导致攻击者在被分配到内存中的数据解释为不同类型漏洞后触发浏览器...
探索安全漏洞:CVE-2022-1802, CVE-2022-1529, & CVE-2022-2200 对Firefox的影响测试
gitblog_00013的博客
06-12 447
探索安全漏洞:CVE-2022-1802, CVE-2022-1529, & CVE-2022-2200 对Firefox的影响测试 去发现同类优质开源项目:https://gitcode.com/ 在这个开源项目中,我们专注于研究和测试三个重要的安全漏洞:CVE-2022-1802、CVE-2022-1529和CVE-2022-2200。这些漏洞已被识别并影响了知名的Mozilla Fi...
Chrome浏览器代码执行0day漏洞
thlzjfefe的博客
05-24 561
适用版本: 漏洞危害:远程代码执行 影响版本:Chrome 89.0.4389.114以下(含89.0.4389.114) 测试版本: 86.0.4240.198 教程内容: 一、利用kali生成shellcode代码 比如说我要弹出计算器,那么: 64位操作系统: msfvenom -a x64 -p windows/x64/exec CMD="calc" EXITFUNC=thread -f num 32位操作系统: msfvenom -a x86 -p windows/exec CMD="ca
谷歌修复今年第五个 Chrome 0day漏洞
smellycat000的专栏
05-11 324
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士谷歌发布 Chrome 安全更新,修复了今年以来利用的第5个 0day 漏洞 (CVE-2024-4671)。该高危漏洞是位于 Visuals 组件中的“释放后使用”漏洞,负责处理渲染和在浏览器上展示内容。该漏洞由一名匿名研究人员发现并报送,谷歌表示可能已活跃利用。谷歌在安全公告中表示,“谷歌发现 CVE-2024-4671在野利用。”当程...
Mozilla 修复Firefox 漏洞,可导致RCE和沙箱逃逸
smellycat000的专栏
12-22 222
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士本周二,Mozilla 发布 Firefox 和 Thunderbird 安全更新,修复了20个漏洞,其中包括多个内存安全漏洞Firefox 121 修复了18个漏洞,其中5个是高危漏洞。其中最严重的是CVE-2023-6856,它位于用于渲染浏览器内交互式图形的WebGL 中的堆缓冲区溢出漏洞。Mozilla 在安全公告中提到,“在系统上与 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值