Критическая уязвимость в WebGPU Firefox угрожает безопасности Ubuntu 22.04 LTS

В ноябре 2025 года обнаружена критическая уязвимость в компоненте WebGPU браузера Mozilla Firefox, зарегистрированная под идентификаторами BDU:2025-14086 и CVE-2025-13025. Проблема затрагивает пользователей операционной системы Ubuntu 22.04 LTS и браузера Firefox версий до 145 включительно. Уязвимость связана с некорректным использованием стандартных разрешений, что позволяет удаленному злоумышленнику выполнить произвольный код на атакованной системе.

Детали уязвимости

Эксперты по кибербезопасности классифицируют данную проблему как архитектурную уязвимость типа CWE-276. Согласно системе оценки CVSS 2.0, уязвимость получает максимальный балл 10.0, что соответствует критическому уровню опасности. В CVSS 3.1 оценка составляет 9.8 баллов, также подтверждая критический статус. Однако в обновленной системе CVSS 4.0 уровень опасности понижен до среднего с оценкой 6.1 баллов, что отражает эволюцию подходов к оценке уязвимостей.

Важно отметить, что уязвимость затрагивает связку операционной системы и прикладного программного обеспечения. Соответственно, пользователи Ubuntu 22.04 LTS, использующие уязвимые версии Firefox, находятся в группе риска. Производитель программного обеспечения подтвердил наличие проблемы и выпустил необходимые обновления безопасности.

Технический анализ показывает, что уязвимость существует в реализации компонента WebGPU, который отвечает за аппаратное ускорение графических вычислений в браузере. Проблема возникает из-за неправильной обработки стандартных разрешений, что создает условия для нарушения авторизации. Злоумышленник может создать специально сконфигурированную веб-страницу, которая при посещении позволит выполнить произвольный код в контексте браузера.

Специалисты отмечают, что успешная эксплуатация уязвимости дает атакующему практически полный контроль над системой. В частности, возможны чтение и модификация конфиденциальных данных, установка вредоносного программного обеспечения, включая программы-вымогатели (ransomware), а также создание механизмов постоянного присутствия (persistence) в системе. При этом для атаки не требуется взаимодействие с пользователем или специальные привилегии.

Статус наличия эксплойта в настоящее время уточняется. Однако учитывая критичность уязвимости и широкую распространенность affected программного обеспечения, эксперты предполагают высокую вероятность появления работающих эксплойтов в ближайшее время. Особую озабоченность вызывает тот факт, что уязвимость позволяет осуществлять атаки через сеть без необходимости аутентификации.

Производители уже выпустили необходимые исправления. Mozilla Corporation устранила проблему в выпусках Firefox новее версии 145. Canonical Ltd. предоставила соответствующие обновления для пользователей Ubuntu 22.04 LTS. Рекомендуется немедленно установить последние версии программного обеспечения через официальные каналы обновления.

В условиях, когда обновление безопасности недоступно, специалисты рекомендуют следовать "Рекомендациям по безопасной настройке операционных систем LINUX", утвержденным ФСТЭК России 25 декабря 2022 года. Эти меры могут помочь снизить риск эксплуатации уязвимости до момента установки исправлений.

Своевременное обновление программного обеспечения остается наиболее эффективным способом защиты от данной угрозы. Системные администраторы и конечные пользователи должны обеспечить установку последних версий Firefox и соответствующих обновлений операционной системы. Особое внимание следует уделить системам, используемым для работы с конфиденциальными данными или выполняющим критически важные функции.

Обнаружение данной уязвимости подчеркивает важность постоянного мониторинга безопасности и оперативного применения исправлений. Веб-браузеры, как сложные программные комплексы, регулярно становятся целью кибератак. Поэтому поддержание их в актуальном состоянии является обязательным элементом общей стратегии кибербезопасности.

Детали уязвимости

Ссылки