La versión 136,0.4 de Firefox corrige un fallo crítico similar a un ataque activo detectado recientemente en Google Chrome

Mozilla ha publicado una actualización urgente de seguridad para Firefox que soluciona una vulnerabilidad crítica, identificada como CVE-2025-2857, que permite a los atacantes escapar del entorno de aislamiento (sandbox) del navegador en sistemas operativos Windows.

El fallo, descrito como un «manejo incorrecto de identificadores que puede provocar escapes del sandbox», fue reportado por el desarrollador de Mozilla Andrew McCreight y afecta tanto a las versiones estándar como a las ediciones de soporte extendido (ESR) del navegador. Las versiones que corrigen esta vulnerabilidad son Firefox 136,0.4, Firefox ESR 115,21.1 y Firefox ESR 128,8.1.

Según la Fundación Mozilla, esta vulnerabilidad guarda similitudes con el CVE-2025-2783, un zero-day explotado recientemente en ataques dirigidos contra instituciones gubernamentales y medios de comunicación en Rusia, en una campaña de ciberespionaje denominada Operation ForumTroll. Ese ataque, descubierto por los investigadores de Kaspersky Boris Larin e Igor Kuznetsov, lograba evadir las protecciones del sandbox de Chrome de forma indetectable.

Al analizar dicho caso, varios desarrolladores de Firefox detectaron un patrón similar en el código de comunicación entre procesos (IPC) de su navegador.