Mozilla a récemment publié une mise à jour critique pour son navigateur Firefox afin de corriger une vulnérabilité de sécurité majeure, identifiée comme CVE-2025-2857.
Cette faille permettait à une page web malveillante de contourner la sandbox du navigateur, exposant ainsi les utilisateurs à des risques d’exécution de code arbitraire.
La sandbox d’un navigateur est un mécanisme de sécurité conçu pour isoler les processus web du reste du système d’exploitation. Son objectif principal est d’empêcher les pages web malveillantes d’accéder aux fichiers et aux ressources sensibles de l’ordinateur.
Lorsqu’un site web s’exécute dans un navigateur, ses scripts et son contenu sont confinés dans un environnement restreint (la sandbox). Cela signifie que :
- Il ne peut pas lire ou écrire des fichiers en dehors de son propre espace d’exécution.
- Il ne peut pas interagir directement avec d’autres processus du système.
- Il ne peut pas exécuter de code dangereux sur l’ordinateur de l’utilisateur.
Si un attaquant parvient à contourner la sandbox, il peut exécuter du code malveillant directement sur l’ordinateur de la victime. Dans le cas de la faille récemment corrigée par Mozilla, une page piégée pouvait sortir du cadre sécurisé de la sandbox et obtenir des privilèges élevés sur le système, ce qui rendait l’attaque particulièrement critique.
Il est important de noter que cette vulnérabilité affecte uniquement les versions de Firefox fonctionnant sous Windows; les autres systèmes d’exploitation ne sont pas concernés.
Pour protéger les utilisateurs, Mozilla a déployé des correctifs dans les versions suivantes de Firefox :
- Firefox 136.0.4
- Firefox ESR 115.21.1
- Firefox ESR 128.8
Il est vivement recommandé aux utilisateurs de mettre à jour leur navigateur vers l’une de ces versions afin de bénéficier des correctifs de sécurité. Les mises à jour peuvent être effectuées directement via le navigateur ou en téléchargeant la dernière version depuis le site officiel de Mozilla.
