Критические уязвимости в браузере Firefox позволяют удаленное выполнение кода

Компания Mozilla выпустила экстренное обновление для браузера Firefox, устраняющее ряд критических уязвимостей, которые могут позволить злоумышленникам удаленно выполнять произвольный код на атакуемых системах. Выпуск версии Firefox 142, состоявшийся 19 августа 2025 года, направлен на закрытие девяти уязвимостей, включая ошибки удаленного выполнения кода, обхода политики безопасности, спуфинга и отказа в обслуживании.

Детали уязвимостей

Согласно рекомендации Mozilla Foundation Security Advisory 2025-64, наиболее серьезными являются уязвимости, связанные с нарушением безопасности памяти. Они могут привести к повреждению данных в памяти и последующему выполнению злонамеренного кода. Среди них выделяются несколько высокоприоритетных проблем.

Одной из самых опасных является уязвимость CVE-2025-9179, которая представляет собой побег из песочницы (sandbox escape) в компоненте Audio/Video GMP, отвечающем за обработку зашифрованных медиаданных. Исследователь под псевдонимом Oskar обнаружил, что использование недопустимого указателя позволяет злоумышленнику повредить память в изолированном процессе GMP. Это может привести к повышению привилегий и обходу ограничений, накладываемых песочницей.

Еще одна серьезная проблема, CVE-2025-9180, была выявлена экспертом Томом Ван Гетемом. Она связана с обходом политики одинакового происхождения (Same-Origin Policy) в компоненте Graphics Canvas2D. Эта уязвимость может позволить вредоносным веб-сайтам получать несанкционированный доступ к ресурсам других доменов, что создает угрозу утечки конфиденциальной информации.

Помимо этого, в списке уязвимостей значатся несколько ошибок, связанных с повреждением памяти. CVE-2025-9187 затрагивает актуальные версии Firefox 142 и Thunderbird 142. CVE-2025-9184 распространяется на расширенные поддерживаемые выпуски (ESR), включая Firefox ESR 140.2 и Thunderbird ESR 140.2. Наиболее масштабной является уязвимость CVE-2025-9185, которая затронула несколько поколений ESR-версий, вплоть до Firefox ESR 115.26. Это свидетельствует о длительном периоде существования проблемы.

Также были устранены уязвимости умеренного и низкого уровня опасности. CVE-2025-9181 связана с использованием неинициализированной памяти, что может привести к утечке данных. CVE-2025-9182 может быть использована для проведения атак на отказ в обслуживании из-за исчерпания памяти. CVE-2025-9183 и CVE-2025-9186 относятся к спуфингу - они могут быть использованы для обмана пользователей путем подделки интерфейса или данных.

Эксперты по кибербезопасности подчеркивают, что сочетание побега из песочницы и повреждения памяти создает особенно серьезную угрозу. Злоумышленники могут использовать эти уязвимости в цепочке атак для получения полного контроля над системой жертвы. Для этого достаточно заставить пользователя посетить специально созданный веб-сайт или взаимодействовать с компрометированным контентом.

Mozilla рекомендует всем пользователям немедленно обновиться до Firefox 142. Это касается как частных лиц, так и организаций, поскольку многие из устраненных уязвимостей уже могут быть использованы в реальных атаках. Для корпоративных клиентов, использующих расширенные поддерживаемые выпуски (ESR), также доступны соответствующие патчи.

Обновление можно установить через встроенную систему автоматического обновления или загрузив новую версию с официального сайта Mozilla. Для проверки текущей версии браузера следует перейти в меню «Справка» и выбрать пункт «О Firefox». Если обновление еще не было применено, браузер предложит выполнить установку.

Детали уязвимостей

Ссылки