Mozilla waarschuwt gebruikers van Firefox voor een kritieke kwetsbaarheid in de Windowsversie van de browser en heeft updates uitgebracht om het probleem te verhelpen. Het oorspronkelijke probleem dat aanwezig was in Google Chrome is actief misbruikt bij aanvallen. Eerder vandaag riep het Tor Project gebruikers van Tor Browser op, dat op Firefox is gebaseerd, om de beschikbaar gestelde noodpatch meteen te installeren.

Eerder deze week waarschuwde Google gebruikers van Chrome voor een actief misbruikte kwetsbaarheid in de Windowsversie van de browser. Via het beveiligingslek (CVE-2025-2783) is het mogelijk om uit de sandbox-beveiliging van Google Chrome te breken. De kwetsbaarheid werd zeer waarschijnlijk met een ander beveiligingslek gecombineerd om zo willekeurige code op de systemen van gebruikers uit te voeren. Misbruik vond al plaats voordat een patch beschikbaar was.

Nadat Google het probleem had gepatcht ontdekten Firefox-ontwikkelaars dat een soortgelijk probleem ook in Mozilla's browser aanwezig is. Dit beveiligingslek wordt aangeduid als CVE-2025-2857. In de beschrijving staat dat de kwetsbaarheid tot een 'sandbox escape' kan leiden. De impact is echter als kritiek beoordeeld. Dit houdt volgens de beschrijving van Mozilla in dat een aanvaller code op het systeem van de gebruiker kan uitvoeren, waarbij alleen het bezoeken van een gecompromitteerde of besmette website of het te zien krijgen van besmette advertenties volstaat.

Mozilla heeft het beveiligingslek verholpen in Firefox 136.0.4, Firefox ESR 115.21.1 en Firefox ESR 128.8.1. Updaten kan via de automatische updatefunctie of Mozilla.org.