Mozillaは、Windows版Firefoxに存在していた深刻なサンドボックス脱出脆弱性「CVE-2025-2857」への対応として、最新版Firefox 136.0.4およびESR向け修正版を公開した。この欠陥は不適切なハンドル管理に起因し、特権のないプロセスが権限を持つプロセスにアクセスする手段を攻撃者に提供していたとされる。

問題はMozillaの開発者Andrew McCreight氏によって報告され、同社はGoogle Chromeで実際に悪用されたゼロデイ「CVE-2025-2783」との類似性を指摘した。特に、Chromeの脆弱性は「ForumTroll作戦」と呼ばれるサイバースパイ活動において、ロシアの政府機関やメディア関係者を標的に利用されていた事例がある。

Firefoxでは過去にもロシア系攻撃者によるゼロデイ悪用が確認されており、今回の脆弱性も同様のリスクをはらんでいたとみられる。Mozillaは技術詳細の開示を避けつつも、早急なアップデートを呼びかけている。

Firefoxの「CVE-2025-2857」が抱える技術的問題と影響範囲

Mozillaが公表した「CVE-2025-2857」は、Windows環境におけるFirefoxのサンドボックス構造に対し、深刻な回避経路を提供する脆弱性である。

この欠陥は、ハンドル管理の不備に起因し、本来アクセス権限のない子プロセスに対して、親プロセスの操作権限が漏洩するという構造的問題を引き起こしていた。これにより、攻撃者がサンドボックスという本来の隔離環境を乗り越え、システム内部への侵入を可能にする状態となっていた。

Mozillaは通常版Firefoxのみならず、企業や教育機関などで広く使用されるESR(拡張サポート版)も対象に含め、Firefox 136.0.4およびESRの115.21.1、128.8.1を緊急リリースした。

技術的詳細は伏せられているものの、Google Chromeのゼロデイ「CVE-2025-2783」との共通性に言及している点から、現場レベルでの類似する攻撃ベクトルの存在が推察される。Mozilla内部でもIPCコード(プロセス間通信)の検証が急務となっており、今後も同様の構造的欠陥が顕在化する可能性は否定できない。

サンドボックスは本質的に「隔離」のための防御手段であり、それを破る脆弱性が存在するという事実は、他の主要ブラウザやアプリケーションにも波及する共通リスクを示唆する。Firefoxに限らず、Windows環境を基盤とする多くのソフトウェアで、同種の設計思想が採用されているため、広範な再点検が求められる局面に入っている。

FirefoxとChromeを繋ぐ脅威の系譜と国家を巻き込む標的型攻撃

今回のCVE-2025-2857が注目を集める理由のひとつは、Google Chromeのゼロデイ脆弱性「CVE-2025-2783」との相関性にある。

Kasperskyの研究者Boris Larin氏とIgor Kuznetsov氏によると、このChromeの脆弱性は、ロシア政府機関および国内メディア関係者を狙った「ForumTroll作戦」の一環として実際に悪用された。同作戦では、プリマコフ読書会の主催者を騙る招待メールを装い、巧妙に標的に感染経路を提供していたとされる。

攻撃者は、明確に悪意あるコードを仕込まず、合法的にも見える操作でサンドボックスを無力化しており、検出の困難さが際立っていた。Mozillaの報告によれば、Firefox開発者はこの攻撃事例を受けて、自社のIPCコードに同種の脆弱パターンを確認したとされる点が、今回の修正の背景にある。これは一過性の欠陥というよりも、サイバー攻撃者が設計構造の隙を突く新たな段階へと移行していることを物語っている。

Firefoxは過去にもロシア系サイバー集団RomComによるゼロデイ攻撃(CVE-2024-9680)を受けており、脆弱性の発見と修正の応酬が続いている。脅威の構造は個人利用者を超え、国家レベルの諜報活動や情報封鎖にも直結し得る性質を持つだけに、セキュリティ対策の遅れがもたらす影響は計り知れない。

こうした背景を踏まえると、単なるソフトウェア更新の問題ではなく、地政学的リスク管理の視点からも注視すべき案件である。

Source:BleepingComputer