Mozilla выпускает Firefox 141 с критическими исправлениями безопасности

Компания Mozilla представила новую версию браузера Firefox 141, которая устраняет целый ряд серьезных уязвимостей, включая критические ошибки, связанные с управлением памятью, а также менее опасные, но все равно значимые проблемы с обработкой URL-адресов и механизмами песочницы. Обновление было выпущено 22 июля 2025 года и задокументировано в бюллетене безопасности Mozilla Foundation Security Advisory 2025-56. В новой версии исправлено 18 уязвимостей (CVE), каждая из которых могла привести к исполнению произвольного кода, утечке данных между источниками или повышению привилегий в системе.

Уязвимости Firefox

Среди наиболее серьезных исправленных уязвимостей - две высокоуровневые ошибки в движке JavaScript, которые могли использоваться злоумышленниками для атак. Первая, CVE-2025-8027, затрагивала 64-битные платформы: JIT-компилятор IonMonkey записывал только половину возвращаемого значения в стек, в то время как Baseline JIT считывал полные 64 бита, что могло вызвать нестабильность и потенциально привести к выполнению вредоносного кода. Вторая, CVE-2025-8028, касалась WASM-таблиц переходов на архитектуре ARM64: при больших таблицах переходов инструкции могли обрезаться, что приводило к неправильному вычислению адресов переходов и возможным сбоям во время выполнения программы.

Кроме того, Mozilla включила в обновление три сводных CVE (CVE-2025-8034, CVE-2025-8035 и CVE-2025-8040), которые охватывают множество проблем с безопасностью памяти, обнаруженных с помощью фаззинговых инструментов компании. Некоторые из этих ошибок демонстрировали признаки потенциально эксплуатируемой коррупции памяти, что делало их особенно опасными.

Помимо стандартной версии Firefox, исправления также затронули Extended Support Release (ESR) - долгосрочные поддерживаемые версии, включая 115.26, 128.13 и 140.1. Это особенно важно для корпоративных пользователей, которые обычно откладывают обновления из-за политик централизованного управления ИТ-инфраструктурой.

Среди других исправленных уязвимостей - CVE-2025-8041 (неправильное усечение URL-адресов в Firefox для Android), CVE-2025-8042 (возможность загрузки файлов из изолированных iframe), CVE-2025-8029 (исполнение JavaScript через URL в тегах object и embed), а также CVE-2025-8036 (обход политики CORS через DNS rebinding). Эти ошибки классифицируются как умеренные, но их эксплуатация могла привести к утечкам данных или неожиданному поведению браузера.

Корпоративным пользователям и администраторам рекомендуется как можно скорее развернуть Firefox 141 на всех управляемых устройствах, особенно на системах под управлением Windows и Linux, а также на устройствах с архитектурой ARM64, где ошибки в JIT-компиляторе могли представлять наибольшую угрозу.

Mozilla традиционно уделяет большое внимание безопасности своих продуктов, активно используя программы Bug Bounty и автоматическое тестирование для выявления уязвимостей до их эксплуатации в реальных атаках. Компания призывает всех пользователей не откладывать обновление, так как задержка может оставить системы открытыми для известных угроз, включая атаки с удаленным выполнением кода.

Новая версия доступна через встроенный механизм обновления браузера, на официальном сайте Mozilla, а также в репозиториях основных дистрибутивов. Пользователям Thunderbird (почтового клиента на том же движке) также рекомендуется проверить наличие обновлений, поскольку некоторые из исправлений касаются и этого продукта.

В условиях растущего числа целевых атак на браузеры своевременное обновление остается одним из ключевых методов защиты. Firefox 141 не только закрывает известные уязвимости, но и повышает общую стабильность работы, что делает его обязательным к установке для всех, кто заботится о безопасности в интернете.

Mozilla выпускает Firefox 141 с критическими исправлениями безопасности - обновляйтесь немедленно

Уязвимости Firefox

Ссылки