Банк данных угроз (БДУ) безопасности информации зарегистрировал новую критическую уязвимость в продуктах Mozilla, включая браузер Firefox и почтовый клиент Thunderbird. Эксперты присвоили идентификатор BDU:2025-16359 и оценили проблему как представляющую наивысший уровень риска. Основная опасность кроется в механизме JIT-компилятора (Just-In-Time compilation), который отвечает за ускорение выполнения JavaScript-кода.
Детали уязвимости
Уязвимость технически классифицируется как выход операции за границы буфера в памяти (CWE-119). Проще говоря, ошибка позволяет злоумышленнику выйти за пределы специально выделенного участка памяти. Дополнительно проблема связана с вызовом функции с неправильным типом аргумента (CWE-686) и доступом к ресурсу через несовместимые типы (CWE-843). В результате удаленный атакер может спровоцировать отказ в обслуживании (Denial of Service, DoS), то есть вызвать аварийное завершение работы программы.
Однако потенциальные последствия выходят за рамки простого сбоя. Высокие оценки по шкале CVSS (Common Vulnerability Scoring System) указывают на более серьезную угрозу. Базовый балл CVSS 3.1 составил 9.8 из 10, что соответствует критическому уровню. Столь высокая оценка обусловлена тем, что для эксплуатации не требуются специальные привилегии или действия пользователя. Атака возможна через сеть (вектор AV:N) с высоким воздействием на конфиденциальность, целостность и доступность системы (C:H/I:H/A:H).
Затронуты популярные продукты Mozilla. В зоне риска находятся браузер Firefox версий до 146, а также его расширенная поддержка Firefox ESR до версии 140.6. Аналогично уязвим почтовый клиент Thunderbird версий до 146 и до 140.6. Производитель уже подтвердил наличие проблемы и оперативно выпустил обновления безопасности. Пользователям всех указанных версий необходимо срочно установить патчи.
Компания Mozilla опубликовала четыре отдельных бюллетеня безопасности под идентификаторами MFSA2025-92, MFSA2025-94, MFSA2025-95 и MFSA2025-96. Каждый документ соответствует конкретной ветви продукта. Эти бюллетени содержат исчерпывающие технические детали и прямые ссылки для загрузки исправленных сборок. Эксперты подчеркивают, что обновление программного обеспечения является единственным эффективным способом устранения угрозы.
На текущий момент информация о наличии активных эксплойтов (exploit) - специальных программ для использования уязвимости - уточняется. Тем не менее, публикация деталей уязвимости в БДУ и присвоение ей идентификатора CVE-2025-14330 повышает вероятность скорого появления таких инструментов в арсенале киберпреступников. Следовательно, окно для безопасного обновления может быть ограниченным.
JIT-компилятор является ключевым компонентом для производительности современных браузеров. Он динамически преобразует код на JavaScript в машинные инструкции. Ошибки в этой сложной системе часто приводят к критическим уязвимостям, позволяющим не только вызвать сбой, но и выполнить произвольный код. Хотя в данном описании прямо указана только возможность отказа в обслуживании, высочайший рейтинг CVSS косвенно намекает на потенциал для более опасных атак.
Системные администраторы и ответственные за информационную безопасность специалисты должны немедленно инициировать процесс массового обновления. В корпоративных средах, где используется Firefox ESR, это особенно актуально. Необходимо развернуть исправленные версии через каналы централизованного управления. Кроме того, рекомендуется усилить мониторинг сетевой активности с помощью систем обнаружения вторжений (IDS) и их предотвращения (IPS) на предмет подозрительных действий.
Для обычных пользователей меры защиты предельно просты. Следует открыть настройки браузера Firefox или клиента Thunderbird и запустить проверку обновлений. Система автоматически найдет и предложит установить последнюю безопасную версию. После установки необходимо перезапустить приложение. Важно не игнорировать эти запросы, так как данное обновление закрывает серьезную брешь в безопасности.
Таким образом, уязвимость BDU:2025-16359 представляет собой классический пример высокорисковой ошибки в фундаментальном компоненте программного обеспечения. Она затрагивает миллионы пользователей по всему миру. Оперативная реакция сообщества безопасности и самого вендора позволила быстро разработать патч. Однако конечная эффективность защиты всегда зависит от своевременности действий конечных пользователей и администраторов.
Ссылки
- https://bdu.fstec.ru/vul/2025-16359
- https://www.cve.org/CVERecord?id=CVE-2025-14330
- https://www.mozilla.org/security/advisories/mfsa2025-92/
- https://www.mozilla.org/security/advisories/mfsa2025-94/
- https://www.mozilla.org/security/advisories/mfsa2025-95/
- https://www.mozilla.org/security/advisories/mfsa2025-96/
- https://bugzilla.mozilla.org/show_bug.cgi?id=1997503
