Фонд Mozilla выпустил срочные обновления безопасности для браузера Firefox 11 ноября 2025 года, устраняющие 16 уникальных уязвимостей в различных версиях и платформах. Эксперты кибербезопасности особенно обеспокоены наличием 12 уязвимостей высокой степени серьезности, которые позволяют удаленное выполнение кода и выход из песочницы (sandbox escape).
Детали уязвимостей
Обновления затрагивают три основные версии браузера: Firefox 145, Firefox ESR 115.30 и Firefox ESR 140.5. Согласно данным Mozilla, 14 дополнительных уязвимостей получили оценку "Средняя", что создает комплексную угрозу для миллионов пользователей по всему миру. В частности, версия Firefox 145 содержит семь уязвимостей высокой серьезности, включая критические проблемы с границами памяти, выход из песочницы и ошибки компилятора JIT (just-in-time).
Наиболее опасные уязвимости связаны с компонентом WebGPU для графической обработки. Пять отдельных ошибок в проверке граничных условий позволяют злоумышленникам выполнять произвольный код через уязвимости в системе графического рендеринга. Кроме того, исследователи из проекта KillFuzz компании Qrious Secure обнаружили проблемы с компиляцией JavaScript, которые могут приводить к выполнению произвольного кода через специально созданные JavaScript-полезные нагрузки.
Особую озабоченность вызывают две уязвимости выхода из песочницы: CVE-2025-13023 и CVE-2025-13026. Эти缺陷 позволяют обходить механизмы изоляции браузера, которые традиционно предотвращают доступ вредоносного кода к системным ресурсам. Между тем, уязвимости типа "use-after-free" в ESR-версиях создают дополнительные риски для корпоративных пользователей.
Многочисленные обходы политики одинакового происхождения (Same-origin policy bypass) в компонентах DOM представляют отдельную категорию угроз. Эти уязвимости потенциально позволяют злоумышленникам получать доступ к конфиденциальным данным с других сайтов или внедрять вредоносный код (malicious code) в легитимные веб-ресурсы.
Версии Firefox ESR (Extended Support Release) получили исправления для критических уязвимостей безопасности памяти через коллективные исправления ошибок (CVE-2025-13027). Эти долгосрочные поддерживаемые выпуски особенно важны для корпоративных и организационных развертываний, где требуется стабильность версий. Следовательно, своевременное применение исправлений становится критически важным для поддержания безопасности институциональных инфраструктур.
Согласно классификации воздействия Mozilla, уязвимости высокой серьезности могут эксплуатироваться злоумышленниками для запуска произвольного кода и установки вредоносного программного обеспечения без какого-либо взаимодействия с пользователем помимо обычной активности просмотра. Эксперты подчеркивают, что для эксплуатации этих уязвимостей требуется только посещение скомпрометированного веб-сайта или подверженность сетевым атакам.
Примечательно, что несколько уязвимостей связаны с состоянием гонки (race condition) в графическом компоненте и обходами механизмов защиты (mitigation bypass). Эти проблемы демонстрируют сложность современных браузерных архитектур и необходимость многоуровневого подхода к безопасности. Современные браузеры представляют собой сложные программные платформы, где взаимодействие различных компонентов создает постоянно расширяющуюся поверхность атаки.
Mozilla настоятельно рекомендует немедленное обновление до последних версий: Firefox 145, Firefox ESR 140.5 или Firefox ESR 115.30. Пользователи могут получить обновления через автоматические механизмы или посетив официальный веб-сайт Mozilla. Автоматическое обновление остается наиболее эффективным способом защиты, поскольку не требует активных действий от пользователя.
Отсутствие необходимости взаимодействия с пользователем beyond стандартного поведения при просмотре существенно увеличивает экспозицию риска across всей пользовательской базы. Специалисты по безопасности напоминают, что даже технологически подкованные пользователи могут стать жертвами таких атак, поскольку они не требуют социальной инженерии или явных подозрительных действий.
Данный инцидент подчеркивает сохраняющуюся актуальность регулярного обновления программного обеспечения в эпоху сложных веб-технологий. Постоянное расширение функциональности браузеров, включая поддержку передовых графических API и высокопроизводительных JavaScript-движков, неизбежно создает новые векторы атак. Следовательно, производители браузеров и сообщество безопасности должны сохранять бдительность в выявлении и устранении таких уязвимостей до их эксплуатации в дикой природе.
В настоящее время нет доказательств активной эксплуатации этих уязвимостей в реальных атаках. Однако исторически подобные критические обновления часто предшествуют появлению эксплойтов в открытом доступе. Поэтому промедление с установкой обновлений может создать значительные риски для отдельных пользователей и организаций. Регулярное обновление программного обеспечения остается фундаментальной практикой кибергигиены в современной цифровой среде.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/
- https://www.mozilla.org/security/advisories/mfsa2025-87/
- https://www.cve.org/CVERecord?id=CVE-2025-13012
- https://www.cve.org/CVERecord?id=CVE-2025-13013
- https://www.cve.org/CVERecord?id=CVE-2025-13014
- https://www.cve.org/CVERecord?id=CVE-2025-13015
- https://www.cve.org/CVERecord?id=CVE-2025-13016
- https://www.cve.org/CVERecord?id=CVE-2025-13017
- https://www.cve.org/CVERecord?id=CVE-2025-13018
- https://www.cve.org/CVERecord?id=CVE-2025-13019
- https://www.cve.org/CVERecord?id=CVE-2025-13020
- https://www.cve.org/CVERecord?id=CVE-2025-13021
- https://www.cve.org/CVERecord?id=CVE-2025-13022
- https://www.cve.org/CVERecord?id=CVE-2025-13023
- https://www.cve.org/CVERecord?id=CVE-2025-13024
- https://www.cve.org/CVERecord?id=CVE-2025-13025
- https://www.cve.org/CVERecord?id=CVE-2025-13026
- https://www.cve.org/CVERecord?id=CVE-2025-13027
