Эксперты по кибербезопасности подтвердили наличие критической уязвимости в популярных продуктах Mozilla - браузере Firefox и почтовом клиенте Thunderbird. Обнаруженная проблема, получившая идентификатор BDU:2025-14554 и CVE-2025-11719, затрагивает все версии программного обеспечения до 144 включительно. Соответственно, миллионы пользователей по всему миру потенциально подвергаются риску атак.
Детали уязвимости
Суть уязвимости классифицируется как use-after-free (использование после освобождения), что относится к категории CWE-416. Если объяснять простыми словами, эта ошибка программирования возникает, когда приложение продолжает использовать участок оперативной памяти после его освобождения. В результате злоумышленник может манипулировать этими структурами данных для реализации атаки.
Базовые показатели CVSS (Системы оценки степени серьезности уязвимостей) демонстрируют исключительную опасность данной проблемы. Во второй версии CVSS уязвимость получила максимально возможную оценку 10.0. В более современной версии CVSS 3.1 ее оценка составляет 9.8 баллов. Оба значения соответствуют критическому уровню опасности. Такие высокие баллы обусловлены тем, что для эксплуатации уязвимости не требуются специальные привилегии или взаимодействие с пользователем. Более того, атака может осуществляться удаленно через сеть.
Потенциальные последствия успешной эксплуатации весьма серьезны. Прежде всего, злоумышленник может вызвать отказ в обслуживании (DoS), что приведет к аварийному завершению работы браузера или почтового клиента. Однако, учитывая максимальные оценки по параметрам конфиденциальности (Confidentiality) и целостности (Integrity) в CVSS, существует реальная вероятность, что уязвимость позволяет не только нарушить работу приложения, но и выполнить произвольный вредоносный код (malicious code). Это открывает путь к полному компрометированию системы, краже конфиденциальных данных и установке программ-шифровальщиков (ransomware).
Производитель, корпорация Mozilla, официально подтвердила наличие уязвимости и оперативно отреагировала на инцидент. Уязвимость уже устранена в актуальных версиях программного обеспечения. Соответственно, ключевой и единственной рекомендуемой мерой защиты является немедленное обновление Firefox и Thunderbird до последних версий. Пользователям следует убедиться, что в их системах установлена версия, следующая за 144.
На текущий момент информация о наличии активных эксплойтов в дикой среде уточняется. Тем не менее, киберпреступники часто действуют очень быстро, обнаруживая и внедряя методы эксплуатации только что обнародованных уязвимостей. Следовательно, задержка с обновлением создает значительный окно возможностей для атакующих.
Ссылки
- https://bdu.fstec.ru/vul/2025-14554
- https://www.cve.org/CVERecord?id=CVE-2025-11719
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/
- https://bugzilla.mozilla.org/show_bug.cgi?id=1991950
