Une vulnérabilité critique dans Firefox permettait de contourner la sandbox sur Windows. Déjà exploitée lors de sa découverte, elle a poussé Mozilla à publier un correctif en urgence pour toutes les versions concernées.
Après Chrome, c’est au tour de Firefox de corriger une faille critique dans la gestion des permissions entre processus. Signalée alors qu’elle était déjà exploitée, la vulnérabilité permettait à une page piégée de contourner la sandbox du navigateur. Mozilla a publié un correctif dans la foulée, en précisant que seuls les systèmes Windows étaient concernés. Une faille qui s’inscrit dans une série d’attaques ciblant les mécanismes d’isolation des navigateurs.
Un correctif en urgence après la découverte d’une faille critique sur Windows
Référencée CVE-2025-2857, la vulnérabilité affecte les versions standard et ESR de Firefox, déployées en entreprise. Elle permettait d’exploiter une erreur dans la gestion des « handles », ces identifiants système qui, sous Windows, permettent aux processus d’accéder à des ressources comme un fichier, une zone mémoire ou un autre processus.
Dans ce cas précis, un processus enfant – typiquement un onglet ou une page web isolée dans Firefox – pouvait alors amener le navigateur à lui transmettre un handle avec des droits excessifs, directement hérité du processus parent. En clair, une page piégée pouvait se frayer un chemin hors de la sandbox, pourtant censée empêcher ce genre d’abus. Le tout sans interaction requise de la part de l’internaute, et sans alerter les systèmes de détection, évidemment.
Mozilla a confirmé avoir rapidement réagi, avec un correctif poussé dans Firefox 136.0.4 et dans les versions ESR 115.21.1 et 128.8.1. Selon l’entreprise, seuls les systèmes Windows sont touchés. Sur macOS, Linux ou Android, vous pouvez continuer à naviguer comme si de rien n’était.
Si urgence à appliquer le patch il y a, c’est bien parce que cette faille n’a rien de théorique. Elle a été exploitée au moment même de sa découverte, d’où le correctif déployé dans la foulée. Le bug a été repéré en interne, après analyse du code IPC – la brique de communication entre processus dans Firefox – par plusieurs développeurs.
Une faille miroir de celle récemment repérée dans Chrome
C’est une alerte publiée par Google qui a mis les développeurs de Firefox sur la piste. Quelques jours avant la découverte du bug, Chrome avait corrigé une faille similaire, CVE-2025-2783, elle aussi liée à une erreur dans la gestion des permissions entre processus. Exploitée activement, cette vulnérabilité permettait de contourner la sandbox du navigateur sans action apparente, avec des conséquences bien réelles.
La vulnérabilité n’est donc pas tombée du ciel. Elle s’inscrit dans une logique d’audit déclenchée par une menace réelle. Le bug a été repéré en interne, puis corrigé sans délai. Une réponse rapide, d’autant plus nécessaire que, là encore, l’exploitation était déjà en cours.
Ce n’est pas la première fois que Firefox se retrouve dans le viseur. En 2024, le groupe RomCom avait déjà combiné une faille dans le moteur d’animations du navigateur avec une élévation de privilèges Windows pour exécuter du code hors de la sandbox.
Source : Mozilla
