В конце 2025 года в Национальный банк данных угроз (BDU) была внесена новая критическая уязвимость, затрагивающая популярный веб-браузер Firefox от Mozilla. Согласно записи BDU:2025-16332, проблема была обнаружена 18 декабря и связана с опасной ошибкой в коде компонента, предназначенного для обеспечения доступности интерфейса для людей с ограниченными возможностями. Уязвимость, получившая идентификатор CVE-2025-14860, классифицируется как использование памяти после её освобождения (CWE-416). По сути, это означает, что браузер может попытаться обратиться к участку оперативной памяти, который уже был очищен, что создаёт условия для нестабильной работы и потенциального взлома.
Детали уязвимости
Официальный совет по безопасности от Mozilla (MFSA2025-98) подтверждает наличие этой проблемы. Уязвимость затрагивает все версии Firefox до 146.0.1. Эксперты присвоили ей наивысший уровень опасности. Базовые оценки по системе CVSS составляют 10.0 для версии 2.0 и 9.8 для версии 3.1. Такие высокие баллы указывают на чрезвычайную серьёзность угрозы. В частности, вектор атаки оценивается как сетевой (AV:N), не требующий специальных привилегий для эксплуатации (PR:N) или взаимодействия с пользователем (UI:N). Следовательно, злоумышленник может инициировать атаку удалённо, без каких-либо действий со стороны жертвы.
Потенциальное воздействие на систему является всеобъемлющим. Успешная эксплуатация уязвимости может позволить злоумышленнику нарушить конфиденциальность, целостность и доступность информации. Иными словами, атакующий потенциально способен похитить данные, изменить их или вызвать отказ в обслуживании браузера. Механизм эксплуатации, согласно BDU, основан на манипулировании структурами данных. В результате ошибки Use-After-Free (использование после освобождения) злонамеренный код может получить несанкционированный доступ к чувствительным областям памяти и выполнить произвольные команды.
Важно отметить, что компонент доступности, в котором найдена уязвимость, является ключевой частью браузера. Он обеспечивает взаимодействие со скринридерами и другими вспомогательными технологиями. Однако, эта же функциональность стала источником риска. Поскольку атака может быть осуществлена через сеть, достаточно посетить специально созданную вредоносную веб-страницу, чтобы активировать эксплойт. На момент публикации новости наличие работающего эксплойта в открытом доступе уточняется. Тем не менее, критический рейтинг обязывает пользователей принять меры немедленно.
Единственным эффективным способом устранения угрозы является обновление программного обеспечения. Компания Mozilla оперативно отреагировала и выпустила патч. Таким образом, пользователям необходимо убедиться, что их браузер обновлён до версии 146.0.1 или новее. Сделать это можно через меню «Справка» → «О Firefox». Браузер автоматически проверит и установит последние обновления безопасности. Данный инцидент лишний раз подчёркивает важность своевременного обновления всего программного обеспечения, особенно веб-браузеров, которые постоянно подвергаются атакам из интернета.
Ситуация также демонстрирует эффективность работы таких систем, как BDU и CVE. Своевременное внесение и описание уязвимости позволяет координировать усилия по кибербезопасности на национальном уровне. Специалисты по информационной безопасности (SOC) и исследователи могут оперативно получать структурированные данные для построения защиты. В данном случае ссылка на официальный источник - рекомендации Mozilla - предоставлена сразу, что упрощает процесс устранения риска. К счастью, статус уязвимости уже изменён на «устранённая».
В заключение, обнаружение CVE-2025-14860 является серьёзным напоминанием о постоянной эволюции киберугроз. Даже такие важные и, казалось бы, безопасные компоненты, как инструменты доступности, могут содержать критические изъяны. Пользователям Firefox рекомендуется немедленно проверить и обновить свой браузер, чтобы закрыть эту опасную уязвимость. Далее, следует всегда соблюдать базовые правила цифровой гигиены, включая установку обновлений и осторожность при посещении незнакомых сайтов.
Ссылки
- https://bdu.fstec.ru/vul/2025-16332
- https://www.cve.org/CVERecord?id=CVE-2025-14860
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-98/
- https://bugzilla.mozilla.org/show_bug.cgi?id=2000597
