В ноябре 2025 года обнаружена критическая уязвимость в реализации WebGPU API браузера Mozilla Firefox и почтового клиента Thunderbird. Уязвимость, получившая идентификаторы BDU:2025-14510 и CVE-2025-13021, связана с некорректной обработкой исключительных состояний и оценивается по шкале CVSS 3.1 в 9.8 баллов из 10 возможных.
Детали уязвимости
Уязвимость затрагивает браузер Firefox и почтовый клиент Thunderbird версий до 145 включительно. Производитель подтвердил наличие проблемы и выпустил обновления безопасности. WebGPU API представляет собой современный интерфейс программирования приложений для высокопроизводительной графики и вычислений в веб-браузерах.
Техническая суть проблемы классифицируется как CWE-703 - неправильная проверка или обработка исключительных состояний. Это тип уязвимости кода, когда система неправильно обрабатывает нестандартные условия выполнения. В контексте WebGPU подобная ошибка может возникать при работе с графическими процессорами и шейдерами.
Эксплуатация уязвимости позволяет удаленному злоумышленнику воздействовать на конфиденциальность, целостность и доступность защищаемой информации. Базовые векторы оценки CVSS демонстрируют максимальную серьезность угрозы. Согласно CVSS 2.0 оценка составляет 10.0 баллов с вектором AV:N/AC:L/Au:N/C:C/I:C/A:C, что означает сетевой вектор атаки с низкой сложностью эксплуатации и полным компрометированием систем.
Современная оценка по CVSS 3.1 также показывает критический уровень: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Это указывает на возможность атаки через сеть без необходимости привилегий или взаимодействия с пользователем. Последствия включают полное нарушение конфиденциальности, целостности и доступности данных.
Основной способ эксплуатации относится к категории манипулирования сроками и состоянием. Атакующий может специально создавать условия, вызывающие исключительные ситуации в WebGPU API. При неправильной обработке таких состояний возможно выполнение произвольного кода или обход механизмов безопасности.
Потенциальные векторы атак разнообразны. Например, злоумышленник может разместить вредоносный веб-сайт с специально созданным WebGPU-контентом. Пользователь, посетивший такой ресурс в уязвимой версии Firefox, рискует стать жертвой атаки. Аналогично, в Thunderbird опасность может исходить от специально сформированных HTML-писем.
Особую озабоченность вызывает возможность создания устойчивого воздействия (persistence). Злоумышленник может устанавливать постоянное присутствие в системе после первоначального компрометирования. Полезная нагрузка (payload) может включать различные типы вредоносного программного обеспечения, включая программы-вымогатели (ransomware).
Mozilla оперативно отреагировала на обнаруженную проблему. Компания выпустила обновления безопасности и опубликовала соответствующие рекомендации. Пользователям необходимо обновить Firefox и Thunderbird до версий, вышедших после исправления уязвимости.
Технические консультации и детальные описания мер защиты доступны в официальных бюллетенях безопасности Mozilla. В частности, адрес mfsa2025-87 содержит информацию об исправлении в Firefox, а mfsa2025-90 - соответствующие данные для Thunderbird.
Системные администраторы и корпоративные пользователи должны уделить особое внимание своевременному обновлению программного обеспечения. Временное окно между обнаружением уязвимости и установкой исправлений представляет значительный риск для информационной безопасности.
Следует отметить, что на момент публикации информация о наличии готовых эксплойтов уточняется. Однако высокая сложность эксплуатации не должна вводить в заблуждение - современные киберпреступники активно инвестируют в исследования подобных уязвимостей.
Данный случай демонстрирует важность регулярного обновления программного обеспечения. Веб-браузеры и почтовые клиенты остаются ключевыми векторами атак в современной кибербезопасности. Особенность данной уязвимости заключается в её расположении в относительно новом WebGPU API, что подчеркивает необходимость тщательного тестирования новых технологий.
Пользователям рекомендуется проявлять бдительность при посещении незнакомых веб-ресурсов и открытии подозрительных электронных писем. Даже после установки обновлений следует придерживаться принципов безопасной работы в интернете.
В заключение стоит отметить, что быстрое реагирование Mozilla на обнаруженную уязвимость заслуживает положительной оценки. Тем не менее, данный инцидент служит напоминанием о постоянной необходимости мониторинга безопасности сложных программных комплексов. Современные веб-технологии, такие как WebGPU, предоставляя новые возможности, одновременно создают дополнительные поверхности для потенциальных атак.
Ссылки
- https://bdu.fstec.ru/vul/2025-14510
- https://www.cve.org/CVERecord?id=CVE-2025-13021
- https://www.mozilla.org/security/advisories/mfsa2025-87/
- https://www.mozilla.org/en-US/security/advisories/mfsa2025-90/
- https://bugzilla.mozilla.org/show_bug.cgi?id=1986431
