Mozilla เปิดเผยการอัปเดต Firefox 136.0.4 และ Firefox ESR เวอร์ชัน 115.21.1/128.8.1 เพื่อแก้ไขช่องโหว่ CVE-2025-2857 ที่ทำให้แฮ็กเกอร์หลุดจาก Sandbox ของเบราว์เซอร์ได้ โดยช่องโหว่นี้คล้ายกับ Zero-day ใน Chrome (CVE-2025-2783) ที่ถูกใช้โจมตีจริงเมื่อสัปดาห์ที่แล้ว
นักวิจัย Kaspersky ผู้ค้นพบช่องโหว่ใน Chrome ระบุว่าแฮ็กเกอร์ใช้เทคนิคหลอกผ่านอีเมลปลอมหัวข้อการอ่าน Primakov เพื่อโจมตีองค์กรรัฐบาลและสื่อรัสเซีย โดยช่องโหว่ทำให้ผ่านระบบ Sandbox ได้ราวกับไม่มีอยู่
Mozilla อธิบายว่าแฮ็กเกอร์ใช้วิธีทำให้กระบวนการหลัก (parent process) เปิดเผย handle ไปยังกระบวนการย่อย (child process) ที่ไม่มีสิทธิ์ จนนำไปสู่การหลุดจาก Sandbox ได้ โดยปัญหานี้กระทบเฉพาะ Firefox บน Windows เท่านั้น
ก่อนหน้านี้ Mozilla เคยแก้ไขช่องโหว่ Zero-day ใน Firefox มาแล้ว 2 ครั้ง ได้แก่ CVE-2024-9680 ที่กลุ่ม RomCom ใช้โจมตีจริงเมื่อตุลาคม 2024 และช่องโหว่ที่ถูกโจมตีในการแข่งขัน Pwn2Own Vancouver 2024 แสดงให้เห็นว่า Firefox กำลังเป็นเป้าหมายสำคัญของแฮ็กเกอร์
