Mozilla publie une version 136.0.4 de Firefox pour Windows qui corrige une vulnérabilité de sécurité critique. Même si les deux navigateurs n'ont pas le même type de moteur de rendu, elle fait écho à la vulnérabilité 0-day CVE-2025-2783 affectant Google Chrome sur Windows.
« Plusieurs développeurs de Firefox ont identifié un schéma similaire dans notre code IPC. Un processus enfant pouvait amener le processus parent à renvoyer un handle involontairement puissant, entraînant un contournement de sandbox », écrit Mozilla dans son avis de sécurité.
« IPC » fait référence à la communication entre les différents processus et « handle » à une ressource système. Quant à la sandbox, il s'agit d'un mécanisme de confinement qui doit empêcher un processus malveillant d'affecter le reste du système. Plus globalement, des éléments sont isolés les uns des autres.
L'alerte concerne ainsi la communication entre processus, avec la possibilité pour un attaquant de contourner les protections de la sandbox et compromettre la sécurité.
Un exploit dans la nature pour Chrome
Rien d'imaginaire puisque Kaspersky a signalé une campagne de cyberespionnage ayant exploité la vulnérabilité CVE-2025-2783 dans le cadre d'un contournement de la protection sandbox de Google Chrome sur Windows, et sans interaction de l'utilisateur.
A priori, la vulnérabilité est essentiellement en rapport avec les processus internes sur Windows, alors que l'avis de sécurité de Google avait mis l'accent sur le framework Mojo de communication inter-processus.
Mozilla souligne que la vulnérabilité d'origine (CVE-2025-2783) a fait l'objet d'une exploitation dans la nature. Pour le moment, il ne semble pas avoir de signalement au sujet de Firefox en tant que cible (contrairement à Google Chrome).
Très urgent pour le projet Tor
Quoi qu'il en soit, le correctif demeure à appliquer sans tarder. Hormis Firefox 136.0.4, il concerne également Firefox ESR 115.21.1 et Firefox ESR 128.8.1. Par voie de conséquence, le navigateur Tor qui s'appuie sur Firefox est touché.
Particulièrement sensible aux problématiques de confidentialité et de cyberespionnage, le projet Tor ne badine pas avec ce genre de vulnérabilité et souligne une mise à jour « très urgente » pour Firefox sur Windows.
« Nous conseillons aux utilisateurs Windows d'effectuer la mise à jour immédiatement. » La vulnérabilité est comblée dans Tor Browser 14.0.7.
