つみかさね

CVE-2025-2857

Critical(10)

CVE-2025-2857 — Firefox IPC サンドボックスエスケープ(Windows)

公開日: 2026-04-14データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
FirefoxMozilla< 136.0.4 (Windows版のみ)
Firefox ESRMozilla< 128.8.1
Firefox ESRMozilla< 115.21.1

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Windows版Firefoxを使用しているか確認する
  2. 2Firefox 136.0.4 / ESR 128.8.1 / ESR 115.21.1以降へ即時アップデートする
  3. 3組織内のFirefox展開バージョンを一括確認する

影響対象

Firefox(Windows版)利用者

補足

  • -実際の悪用が確認されているため、最優先で対応してください
CVEFirefoxサンドボックスエスケープMozillaIPC

概要

Chrome の サンドボックス エスケープ 脆弱性(CVE-2025-2783)の 発見 を 受け、Mozilla の 開発者 が Firefox の IPC(プロセス 間 通信)コード に 同様 の パターン を 発見 しました。侵害 された 子 プロセス が 親 プロセス に 対して 意図 しない 強力 な ハンドル を 返させる こと が でき、サンドボックス から の 脱出 が 可能 に なる 脆弱性 です。

元 の 脆弱性(CVE-2025-2783)は 実際 に 野生 で 悪用 されて いた こと が 確認 されて おり、本 脆弱性 も 同様 の リスク を 持ちます。Windows 版 Firefox のみ が 影響 を 受け、他 の OS は 影響 を 受けません。

CVSS ベクトル

項目
CVSS スコア10.0(Critical)
CWECWE-668(不適切 な リソース 公開)
攻撃 元 区分ネットワーク
攻撃 条件 の 複雑性
必要 な 特権不要
ユーザー 関与不要

影響 を 受ける ソフトウェア

製品影響 バージョン修正 バージョン
Firefox(Windows 版)136.0.4 未満136.0.4
Firefox ESR128.8.1 未満128.8.1
Firefox ESR115.21.1 未満115.21.1

修正 バージョン と 回避策

Firefox 136.0.4、Firefox ESR 128.8.1、Firefox ESR 115.21.1 で 修正 されて います。Windows 版 Firefox を 使用 して いる 場合、即時 アップデート を 推奨 します。他 の OS(macOS / Linux)は 影響 を 受けません。

関連 リンク

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

関連する脆弱性

CVE-2025-2783Chrome サンドボックスエスケープ(同パターン)CVSS 8.3CVE-2025-4918Firefox Promise 境界外読み書きCVSS 9.8

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2025-2857
Mozilla:https://www.mozilla.org/security/advisories/mfsa2025-19/
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。