В ноябре 2025 года обнаружена критическая уязвимость в компоненте WebGPU браузера Mozilla Firefox, зарегистрированная под идентификаторами BDU:2025-14087 и CVE-2025-13026. Данная уязвимость связана с некорректной обработкой исключительных состояний и позволяет удаленному злоумышленнику обойти механизмы песочницы браузера.
Детали уязвимости
Уязвимость затрагивает Mozilla Firefox версий до 145, работающих на операционной системе Ubuntu 22.04 LTS. Согласно классификации Weakness Enumeration, ошибка относится к категории CWE-703 - неправильная проверка или обработка исключительных состояний. Производитель уже подтвердил наличие уязвимости и выпустил соответствующие обновления безопасности.
Оценка по системе CVSS демонстрирует критический уровень угрозы. В частности, базовая оценка CVSS 2.0 составляет максимальные 10 баллов при векторе AV:N/AC:L/Au:N/C:C/I:C/A:C, что означает возможность удаленной эксплуатации без аутентификации с полным компрометированием конфиденциальности, целостности и доступности системы. Оценка CVSS 3.1 достигает 9.8 баллов с вектором AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H, подтверждая критичность уязвимости.
Эксплуатация уязвимости осуществляется через манипулирование сроками и состоянием (race condition). Злоумышленник может создать специально сформированную веб-страницу, которая при посещении пользователем способна обойти защитные механизмы песочницы Firefox. Следовательно, потенциальный вредоносный код (malicious code) может получить несанкционированный доступ к системным ресурсам.
WebGPU представляет современный API для высокопроизводительной графики и вычислений в веб-браузерах. Однако сложность реализации этого компонента привела к возникновению уязвимости в механизме обработки исключений. Именно поэтому некорректная обработка особых условий выполнения позволяет нарушить изоляцию песочницы.
Для пользователей Ubuntu 22.04 LTS и Firefox до версии 145 существует непосредственная угроза. При успешной эксплуатации злоумышленник может выполнить произвольный код, получить доступ к конфиденциальным данным или установить постоянное присутствие в системе.
Производитель рекомендует немедленное обновление программного обеспечения. Для Firefox необходимо установить версию 145 или новее через официальный канал обновлений или следуя рекомендациям из бюллетеня безопасности MFSA 2025-87. Пользователям Ubuntu следует обратиться к security-совету Canonical для CVE-2025-13026 и установить все доступные обновления через стандартный менеджер пакетов.
В случае временной недоступности обновлений рекомендуется следовать "Рекомендациям по безопасной настройке операционных систем LINUX", утвержденным ФСТЭК России 25 декабря 2022 года. Эти меры включают ограничение прав доступа, отключение неиспользуемых компонентов и усиление политик безопасности. Однако важно подчеркнуть, что данные меры носят временный характер и не заменяют установку официальных исправлений.
Статус уязвимости в настоящее время - подтверждена производителем и устранена. Информация о наличии публичных эксплойтов уточняется, но учитывая критичность уязвимости, можно предположить высокую вероятность появления инструментов для эксплуатации в ближайшее время. Поэтому своевременное обновление становится критически важным.
Ссылки
- https://bdu.fstec.ru/vul/2025-14087
- https://www.cve.org/CVERecord?id=CVE-2025-13026
- https://bugzilla.mozilla.org/show_bug.cgi?id=1994441
- https://ubuntu.com/security/CVE-2025-13026
- https://www.mozilla.org/security/advisories/mfsa2025-87/
