Критическая уязвимость в Netmonitor угрожает пользователям Firefox и Thunderbird

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая миллионы пользователей по всему миру. Эксперты присвоили идентификатор BDU:2025-16358 для ошибки в компоненте Netmonitor браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird. Проблема классифицирована как небезопасное управление привилегиями (CWE-269). Фактически, уязвимость позволяет удаленному злоумышленнику повысить свои права в системе.

Детали уязвимости

Уязвимость подтверждена производителем, Mozilla Corp., и уже выпущены необходимые обновления. Под угрозой находятся версии Firefox до 146, Firefox ESR до 140.6, Thunderbird до 146 и Thunderbird до 140.6. Стоит отметить, что Thunderbird имеет две отдельные ветки обновлений. Опасность заключается в том, что для успешной атаки злоумышленнику достаточно заставить пользователя посетить специально созданную веб-страницу или открыть письмо. При этом не требуется никакой аутентификации.

Система оценки CVSS наглядно демонстрирует серьезность угрозы. По устаревшей, но показательной шкале CVSS 2.0 уязвимость получила максимально возможные 10.0 баллов. Более современная метрика CVSS 3.1 оценивает риск в 8.8 балла, что соответствует высокому уровню опасности. Вектор атаки включает сетевую доступность, низкую сложность эксплуатации, отсутствие необходимости в привилегиях, но требует определенного взаимодействия с пользователем.

Главным способом эксплуатации является нарушение авторизации. Успешная атака может привести к полному компрометированию целевой системы. Злоумышленник потенциально получает возможность выполнять произвольный код, читать конфиденциальные данные, модифицировать их и нарушать доступность служб. Это создает прямую угрозу для конфиденциальности и целостности информации на устройстве пользователя.

К счастью, способ устранения проблемы стандартен и эффективен. Разработчики из Mozilla оперативно отреагировали и выпустили патчи. Пользователям необходимо в срочном порядке обновить свое программное обеспечение до актуальных версий. Для Firefox это версия 146 и выше, для Firefox ESR - 140.6 и выше, а для Thunderbird - 146 или 140.6 в зависимости от используемой ветки. Все детали и официальные рекомендации опубликованы в бюллетенях безопасности на сайте Mozilla.

Соответственно, пользователям следует перейти по ссылкам MFSA2025-92, MFSA2025-94, MFSA2025-95 или MFSA2025-96. Там содержится исчерпывающая информация об обновлениях. На текущий момент статус уязвимости изменен на "устранена". Однако скорость применения патчей конечными пользователями остается ключевым фактором безопасности.

Данная уязвимость также получила идентификатор CVE-2025-14329 в общей системе нумерации. Интересно, что на момент публикации данных в BDU информация о наличии активных эксплойтов уточняется. Тем не менее, учитывая критический характер ошибки и широкую распространенность продуктов Mozilla, можно ожидать, что киберпреступники попытаются разработать методы атаки.

Таким образом, ситуация требует немедленного внимания со стороны системных администраторов и рядовых пользователей. Промедление с установкой обновлений неоправданно увеличивает окно для потенциальной атаки. Регулярное обновление программного обеспечения по-прежнему остается одной из самых эффективных мер кибергигиены. В данном случае это единственная необходимая мера для защиты.

Подводя итог, уязвимость в компоненте Netmonitor служит очередным напоминанием о сложности современного программного кода. Даже в продуктах с открытым исходным кодом, которые проходят активный аудит, могут обнаруживаться критические ошибки управления привилегиями. Своевременная реакция сообщества и производителя позволяет минимизировать риски. Следовательно, пользователям необходимо выработать привычку регулярно проверять и устанавливать обновления безопасности.

Детали уязвимости

Ссылки