Updates für Firefox schließen eine Sandbox-Lücke unter Windows. Sie ähnelt derjenigen, die in Google Chrome angegriffen wird.
Für den Webbrowser Firefox stehen Aktualisierungen bereit, die eine als kritisch eingestufte Sicherheitslücke schließen. Unter Windows ermöglicht sie bösartigen Akteuren, aus der Sandbox auszubrechen und somit Schadcode im System einzuschleusen und auszuführen.
In einer Sicherheitsmitteilung erklären die Mozilla-Entwickler, dass sie im Nachgang zu der jüngst in Google Chrome bekannt gewordenen, bereits in freier Wildbahn angegriffenen Sicherheitslücke ähnliche Muster im Code von Firefox für die Interprozesskommunikation (IPC, Inter Process Communication) gefunden haben. “Ein kompromittierter Child-Prozess kann dazu führen, dass der Eltern-Prozess einen unabsichtlich mächtigen Handle zurückliefert, was zu einem Ausbruch aus der Sandbox führt”, erörtern die Entwickler den Fehler etwas kryptisch (CVE-2025-2857, kein CVSS, Risiko “kritisch“).
Betroffene Versionen
Das Problem tritt lediglich unter Windows auf. Die Firefox-Versionen 136.0.4, Firefox ESR 115.21.1 und Firefox ESR 128.8.1 korrigieren die sicherheitsrelevanten Fehler. Wer die Mozilla-Webbrowser unter Windows nutzt, sollte zügig sicherstellen, die fehlerbereinigten Versionen einzusetzen.
Ob Firefox bereits aktuell ist, können Nutzerinnen und Nutzer durch den Aufruf des Versionsdialogs herausfinden. Der öffnet sich, wenn das Browser-Menü angeklickt wird, das sich hinter dem “Hamburger”-Symbol mit drei horizontalen Strichen rechts von der Adressleiste verbirgt, und dem weiteren Weg über “Hilfe” – “Über Firefox”.