В ноябре 2025 года обнаружена критическая уязвимость в реализации WebGPU API браузера Mozilla Firefox и почтового клиента Thunderbird. Идентифицированная как CVE-2025-13022, она затрагивает все версии программного обеспечения до 145 включительно. Уязвимость связана с неправильной обработкой исключительных состояний, что соответствует классификации CWE-703.
Детали уязвимости
Данная проблема представляет серьезную угрозу безопасности. Эксплуатация уязвимости позволяет удаленному злоумышленнику нарушить конфиденциальность, целостность и доступность защищаемой информации. При этом для успешной атаки не требуется никаких специальных привилегий или действий со стороны пользователя.
Оценка критичности по системе CVSS демонстрирует исключительную опасность данной уязвимости. По версии CVSS 2.0 базовая оценка составляет максимальные 10 баллов, а по CVSS 3.1 - 9,8 балла. Такие показатели относят уязвимость к категории критических. Вектор атаки оценивается как сетевой с низкой сложностью эксплуатации и отсутствием требований к аутентификации.
WebGPU API представляет современный интерфейс для графических вычислений в веб-браузерах. Этот API обеспечивает прямой доступ к графическим возможностям устройства, что делает его потенциально опасным при наличии уязвимостей. Неправильная обработка исключительных состояний в данном случае может привести к выполнению произвольного кода.
Специалисты по кибербезопасности отмечают, что уязвимости в графических API особенно опасны. Они часто позволяют обходить механизмы песочницы браузера. Следовательно, успешная эксплуатация может привести к полному компрометированию системы.
Производитель подтвердил наличие уязвимости и уже выпустил обновления безопасности. Рекомендации по устранению опубликованы в официальных бюллетенях безопасности MFSA2025-87 и MFSA2025-90. Пользователям настоятельно рекомендуется немедленно обновить Firefox и Thunderbird до версий, вышедших после 145-й версии.
Механизм эксплуатации уязвимости относится к категории манипулирования временными параметрами и состоянием системы. Этот способ атаки особенно сложен для обнаружения традиционными средствами защиты. Например, злоумышленник может специально создавать условия, приводящие к исключительным ситуациям в WebGPU API.
Важно подчеркнуть, что уязвимость затрагивает не только браузер Firefox, но и почтовый клиент Thunderbird. Это расширяет потенциальные векторы атаки, поскольку современные почтовые клиенты часто обрабатывают HTML-контент с использованием тех же механизмов, что и браузеры.
На текущий момент информация о наличии работающих эксплойтов уточняется. Тем не менее, учитывая критический характер уязвимости, можно предположить, что активные попытки эксплуатации начнутся в ближайшее время. Особенно высока вероятность появления эксплойтов в составе специализированных вредоносных программ.
Для защиты от потенциальных атак необходимо следовать базовым принципам кибергигиены. Прежде всего, следует обеспечить регулярное обновление программного обеспечения. Кроме того, рекомендуется использовать дополнительные средства защиты, такие как системы обнаружения вторжений и антивирусные решения.
Производитель устранил уязвимость в последних версиях программного обеспечения. Однако пользователи устаревших версий остаются в группе риска. Стоит отметить, что автоматическое обновление обычно включено по умолчанию в продуктах Mozilla.
Данный инцидент демонстрирует возрастающую сложность современных веб-технологий. WebGPU API представляет собой мощный инструмент для разработчиков, но одновременно увеличивает поверхность атаки. Следовательно, необходим тщательный аудит безопасности при внедрении новых веб-стандартов.
В заключение стоит отметить оперативность реакции производителя на обнаруженную проблему. Mozilla Corporation традиционно быстро выпускает исправления для критических уязвимостей. Поэтому пользователям достаточно своевременно установить обновления, чтобы обезопасить свои системы от потенциальных атак.
Эксперты рекомендуют особое внимание уделить корпоративным пользователям, которые часто откладывают обновления из-за процессов тестирования. В данном случае риски значительно превышают возможные неудобства от немедленного обновления.
Ссылки
- https://bdu.fstec.ru/vul/2025-14509
- https://www.cve.org/CVERecord?id=CVE-2025-13022
- https://www.mozilla.org/security/advisories/mfsa2025-87/
- https://www.mozilla.org/security/advisories/mfsa2025-90/
- https://bugzilla.mozilla.org/show_bug.cgi?id=1988488
