Критическая уязвимость в ядре Firefox и Thunderbird угрожает полным компрометированием систем

Банк данных угроз безопасности информации (BDU) опубликовал запись о новой критической уязвимости в продуктах Mozilla. Проблема, получившая идентификатор BDU:2025-15640, затрагивает JIT-компилятор (Just-In-Time, компилятор «на лету») в браузерах Firefox, Firefox ESR (Extended Support Release, выпуск расширенной поддержки) и почтовом клиенте Thunderbird. Эксперты классифицируют её как крайне опасную из-за максимальных базовых оценок по шкале CVSS.

Детали уязвимости

Суть уязвимости заключается в некорректном управлении генерацией кода, что является подклассом уязвимости внедрения кода. Проще говоря, ошибка в механизме, который динамически преобразует код для ускорения работы веб-приложений, создаёт брешь в безопасности. Удалённый злоумышленник, эксплуатируя эту брешь, может получить возможность выполнить произвольный код в контексте уязвимого приложения. Следовательно, это ставит под угрозу все три ключевых аспекта информации: конфиденциальность, целостность и доступность.

Угроза носит масштабный характер, поскольку затрагивает множество версий популярного программного обеспечения. В частности, уязвимыми являются Firefox до версии 146, Thunderbird до версий 146 и 140.6, а также долгосрочные поддерживаемые ветки Firefox ESR до версий 140.6 и 115.31. Важно отметить, что атака не требует от пользователя каких-либо специальных действий, кроме посещения вредоносной веб-страницы в случае с браузером или открытия специально сформированного письма в Thunderbird. Более того, для эксплуатации не нужны предварительные привилегии в системе.

Присвоенные оценки CVSS красноречиво говорят об уровне опасности. По версии CVSS 2.0 уязвимость получила базовый балл 10.0, что соответствует высшему уровню критичности. По более современной шкале CVSS 3.1 оценка лишь немногим ниже - 9.8, что также классифицируется как критический уровень. Эти баллы означают, что атака возможна через сеть, имеет низкую сложность реализации и приводит к полному компрометированию целевой системы.

На текущий момент статус уязвимости подтверждён производителем, Mozilla Corp. К счастью, компания оперативно отреагировала и уже выпустила обновления безопасности, полностью устраняющие проблему. Соответствующие бюллетени опубликованы под идентификаторами MFSA2025-92, MFSA2025-93, MFSA2025-94, MFSA2025-95 и MFSA2025-96. Данная уязвимость также зарегистрирована в международной системе нумерации как CVE-2025-14324. Способ устранения для всех пользователей однозначен и обязателен - немедленное обновление программного обеспечения до актуальных исправленных версий.

Эксперты по кибербезопасности подчёркивают, что подобные уязвимости в основных компонентах, таких как JIT-компилятор, являются особенно ценными для создателей сложных вредоносных программ, включая программы-вымогатели (ransomware). Они часто используются в цепочках атак для получения первоначального доступа к системе. Следовательно, промедление с установкой патчей может иметь серьёзные последствия. В настоящее время информация о наличии активных эксплойтов (exploit, инструмент для эксплуатации уязвимости) уточняется, однако история показывает, что критические уязвимости в распространённом ПО быстро привлекают внимание злоумышленников.

Таким образом, пользователям Mozilla Firefox, Firefox ESR и Thunderbird настоятельно рекомендуется проверить и обновить свои приложения. Для этого необходимо в настройках браузера или почтового клиента перейти в раздел справки («Help» или «О программе»), где обычно запускается автоматическая проверка обновлений. Установка последних версий является единственной эффективной мерой защиты от потенциальных атак, использующих эту критическую уязвимость. Системным администраторам в организациях следует уделить первоочередное внимание развёртыванию обновлений на всех управляемых рабочих местах, чтобы минимизировать риски для корпоративной инфраструктуры.

Детали уязвимости

Ссылки