В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярные продукты Mozilla. Идентифицированная под номером BDU:2025-15643 и соответствующая идентификатору CVE-2025-14321, эта проблема представляет серьёзную угрозу для пользователей браузеров Firefox, Firefox ESR и почтового клиента Thunderbird. Уязвимость связана с компонентом WebRTC: Signaling и классифицируется как ошибка типа «использование после освобождения» (use-after-free, CWE-416). Проще говоря, это ситуация, когда программа пытается использовать участок оперативной памяти после того, как он был освобождён. Подобные ошибки часто приводят к сбоям, а в контексте безопасности создают возможности для удалённого выполнения кода.
Детали уязвимости
Эксперты присвоили уязвимости максимально возможные оценки по шкале CVSS (Common Vulnerability Scoring System). Базовая оценка CVSS 3.1 составляет 9.8 баллов из 10, что соответствует критическому уровню опасности. Это означает, что для эксплуатации уязвимости не требуются специальные привилегии или действия со стороны пользователя. Удалённый злоумышленник может создать специальную веб-страницу или, возможно, электронное письмо, которое, будучи открытым в уязвимой версии ПО, позволит атакующему выполнить произвольный код на устройстве жертвы. Как следствие, под угрозу попадают конфиденциальность, целостность и доступность защищаемой информации. Теоретически, это открывает путь для кражи данных, установки вредоносного ПО, включая программы-вымогатели (ransomware), или получения полного контроля над системой.
Уязвимость затрагивает широкий спектр версий программного обеспечения. В частности, речь идёт о браузере Firefox до версии 146, почтовом клиенте Thunderbird до версии 146, а также о версиях Firefox Extended Support Release (ESR) и Thunderbird до версии 140.6. Поскольку оба продукта активно используются как в корпоративной среде, так и частными лицами, потенциальная область воздействия чрезвычайно велика. Особую озабоченность вызывает уязвимость в Thunderbird, так как почтовый клиент часто обрабатывает данные, считающиеся конфиденциальными. Атака через email может быть особенно эффективной в рамках целевых фишинговых кампаний.
К счастью, производитель уже отреагировал на угрозу. Компания Mozilla выпустила обновления безопасности, устраняющие данную проблему. Соответствующие бюллетени опубликованы под номерами MFSA2025-92, MFSA2025-94, MFSA2025-95 и MFSA2025-96. Следовательно, основной и единственной рекомендованной мерой по устранению уязвимости является немедленное обновление программного обеспечения. Пользователям Firefox необходимо обновиться до версии 146 или выше, а пользователям Thunderbird - до версии 146 или 140.6 в зависимости от ветки поддержки. Для Firefox ESR актуальной является версия 140.6. Обновление должно произойти автоматически, но специалисты по кибербезопасности настоятельно рекомендуют проверить его наличие вручную через меню «Справка» -> «О Firefox» или «Справка» -> «О Thunderbird».
На текущий момент информация о наличии публичных эксплойтов, использующих эту уязвимость, уточняется. Однако учитывая её критическую природу и относительно простой вектор атаки, можно ожидать, что злоумышленники, особенно группы APT (Advanced Persistent Threat - устойчивая целевая угроза), постараются быстро интегрировать её в свой арсенал. Поэтому промедление с установкой обновлений несёт в себе значительные риски. Эта ситуация в очередной раз подчёркивает важность своевременного применения патчей как для конечных пользователей, так и для администраторов корпоративных сетей, отвечающих за управление обновлениями.
Таким образом, выявленная уязвимость в компонентах WebRTC браузеров Mozilla представляет собой классический пример высокорисковой ошибки в широко распространённом программном обеспечении. Её эксплуатация может привести к полной компрометации системы. Своевременное обновление остаётся самым эффективным способом защиты. Специалисты рекомендуют не игнорировать запросы на перезагрузку для применения обновлений и следить за официальными источниками Mozilla для получения самой актуальной информации. Данный инцидент также служит напоминанием о необходимости комплексного подхода к безопасности, который включает не только обновление ПО, но и использование средств сетевой защиты, таких как IPS (система предотвращения вторжений), и повышение осведомлённости пользователей.
Ссылки
- https://bdu.fstec.ru/vul/2025-15643
- https://www.cve.org/CVERecord?id=CVE-2025-14321
- https://bugzilla.mozilla.org/show_bug.cgi?id=1992760
- https://www.mozilla.org/security/advisories/mfsa2025-92/
- https://www.mozilla.org/security/advisories/mfsa2025-94/
- https://www.mozilla.org/security/advisories/mfsa2025-95/
- https://www.mozilla.org/security/advisories/mfsa2025-96/
