Критическая уязвимость в Firefox и Thunderbird: использование памяти после освобождения угрожает полным компрометированием систем

В Банке данных угроз безопасности информации (BDU) появилась новая запись под номером 2025-16355, подтвержденная производителем. Она описывает критическую уязвимость в популярных продуктах Mozilla - браузере Firefox и почтовом клиенте Thunderbird. Эта уязвимость, связанная с ошибкой в компоненте GNU Multiple Precision Arithmetic Library (GMP), представляет серьезную угрозу безопасности.

Детали уязвимости

Согласно классификации Common Weakness Enumeration, ошибка относится к типу CWE-416, то есть "использование после освобождения". Данный класс уязвимостей возникает, когда программа продолжает использовать участок оперативной памяти после того, как он был освобожден. Это создает условия для нестабильной работы приложения. В частности, атакующий может манипулировать этими структурами данных для достижения своих целей.

Уязвимость затрагивает все версии Firefox и Thunderbird до релиза 146. Эксперты оценивают ее уровень опасности как критический по обеим основным шкалам. Базовая оценка CVSS 2.0 достигает максимального значения 10.0, а оценка по CVSS 3.1 составляет 9.8 баллов из 10 возможных. Вектор атаки определен как AV:N/AC:L/Au:N для CVSS 2.0 и AV:N/AC:L/PR:N/UI:N/S:U для CVSS 3.x. Это означает, что для эксплуатации не требуется ни аутентификации, ни взаимодействия с пользователем, а атака может проводиться удаленно через сеть.

Следовательно, успешное использование этой уязвимости дает злоумышленнику практически полный контроль над системой. Теоретически, он может выполнить произвольный вредоносный код, что приведет к полному компрометированию конфиденциальности, целостности и доступности данных. На практике результатом может стать кража информации, установка программ-шифровальщиков (ransomware) или создание точки постоянного доступа (persistence) в системе. Несмотря на то, что наличие готового эксплойта на данный момент уточняется, высокая степень опасности требует немедленных действий.

Производитель уже отреагировал на угрозу и выпустил обновления, устраняющие проблему. Уязвимость была официально закрыта. Компания Mozilla опубликовала два security advisory, которые содержат всю необходимую информацию и рекомендации. Пользователям необходимо срочно обновить свое программное обеспечение до актуальных версий, начиная с 146-й сборки. Ссылки на официальные бюллетени безопасности прикреплены к записи в BDU.

Этот инцидент в очередной раз подчеркивает важность своевременного обновления прикладного программного обеспечения. Продукты Mozilla, будучи проектами с открытым исходным кодом, обычно оперативно закрывают обнаруженные уязвимости. Однако эффективность этих мер напрямую зависит от сознательности конечных пользователей и администраторов корпоративных сетей. Задержка с установкой патчей даже на несколько дней может создать критическое окно для потенциальных атак, особенно если информация об уязвимости становится публичной.

С технической точки зрения, ошибки типа "use-after-free" в таких фундаментальных библиотеках, как GMP, являются особо опасными. Компонент GMP отвечает за выполнение арифметических операций с высокой точностью и используется во многих критически важных процессах. Следовательно, уязвимость в этом модуле может быть использована для атаки на ядро безопасности браузера или почтового клиента. Подобные атаки часто становятся частью сложных цепочек эксплуатации, документированных в рамках таких таксономий, как MITRE ATT&CK.

Таким образом, текущая ситуация требует повышенного внимания со стороны специалистов по информационной безопасности. Им рекомендуется не только обеспечить обновление ПО на всех управляемых рабочих местах, но и проанализировать логи своих систем обнаружения вторжений (IDS) и предотвращения вторжений (IPS) на предмет возможных попыток эксплуатации. Хотя угроза уже нейтрализована на уровне кода, ее появление служит важным напоминанием о непрерывности процессов обеспечения кибербезопасности в современной цифровой среде.