Ciberseguridad 360 | Firefox afectado por una falla similar a la de Chrome, Zero-Day, explotada en Rusia

Los desarrolladores de Firefox han determinado que su navegador est� afectado por una vulnerabilidad similar a la reciente vulnerabilidad de d�a cero de escape del sandbox de Chrome.

Mozilla dice que los desarrolladores de Firefox han determinado que su navegador est� afectado por una vulnerabilidad cr�tica que es similar a la vulnerabilidad de d�a cero de Chrome revelada hace unos d�as.

El martes, Google anunci� una actualizaci�n de Chrome que corrige CVE-2025-2783, una vulnerabilidad reportada al gigante tecnol�gico por la firma de ciberseguridad Kaspersky, cuyos investigadores vieron que estaba siendo explotada en ataques dirigidos a organizaciones rusas .

Kaspersky afirm� que CVE-2025-2783 ha sido explotada desde al menos mediados de marzo por lo que probablemente sea un actor de amenazas patrocinado por un estado para evadir el entorno de pruebas de Chrome. La cadena de exploits tambi�n se dirigi� a otra vulnerabilidad (que Kaspersky no pudo identificar) para lograr la ejecuci�n remota de c�digo.

La campa�a, que la empresa de seguridad denomin� Operaci�n ForumTroll porque utilizaba invitaciones falsas a un foro cient�fico como se�uelo, ten�a como blanco medios de comunicaci�n, instituciones educativas y organizaciones gubernamentales de Rusia.

Los desarrolladores de Firefox analizaron CVE-2025-2783 y descubrieron que tambi�n existe un patr�n similar en su c�digo IPC.

El problema, descrito como un identificador incorrecto, puede permitir que un proceso secundario comprometido haga que el proceso principal "devuelva un identificador involuntariamente poderoso, lo que conduce a un escape de la zona protegida", dijeron los desarrolladores de Firefox.

En el caso de Firefox, la vulnerabilidad se conoce como CVE-2025-2857 . La falla solo afecta a Firefox para Windows y se ha corregido con el lanzamiento de las versiones 136.0.4, 128.8.1 (ESR) y 115.21.1 (ESR).

Mozilla se�al� que la vulnerabilidad original hab�a sido explotada, pero no mencion� nada sobre ataques dirigidos a los usuarios de Firefox.

El navegador Tor, que se basa en Firefox, tambi�n se ha actualizado para abordar la vulnerabilidad.

La agencia de ciberseguridad CISA a�adi� el jueves la falla de Chrome a su cat�logo de Vulnerabilidades Explotadas Conocidas (KEV). La agencia se�al� que otros navegadores basados ??en Chromium tambi�n podr�an verse afectados, como Microsoft Edge y Opera. Microsoft no parece haber emitido ning�n aviso.

La explotaci�n de vulnerabilidades de Firefox no es tan com�n como la de errores de Chrome , pero se han explotado aproximadamente una docena de vulnerabilidades de seguridad en la �ltima d�cada. Un ejemplo sali� a la luz a finales de noviembre de 2024, cuando ESET inform� que una APT rusa hab�a encadenado ataques de d�a cero de Firefox y Windows para desplegar una puerta trasera.

Fuente: SecurityWeek.