Меню
Главная
Лента
Закладки
Скачайте приложение
App Store
установить
Play Market
установить
RuStore
установить
Комментарии 0
...комментариев пока нет
Назад
habr.com Хабр
месяц назад

Специалист Positive Technologies выявил и помог закрыть уязвимость в Firefox

Эксперт компании Positive Technologies Даниил Сатяев обнаружил уязвимость в браузере Mozilla Firefox, включая его корпоративную версию. При эксплуатации уязвимости после внедрения вредоносного кода на случайном сайте злоумышленник мог похищать учётные данные и перенаправлять пользователей на фишинговые страницы. Mozila была уведомлена об угрозе в рамках политики ответственного разглашения и выпустил обновления для Firefox и Firefox ESR.

Уязвимость CVE-2025-6430 получила оценку 6,1 балла по шкале оценки уязвимостей CVSS 4.0. Ошибка затронула все версии Firefox ниже 140.0, а также корпоративный Firefox ESR младше 128.12. По данным вендора, недостатку были подвержены и две линейки почтовой программы Thunderbird. Уязвимости содержались в версиях ниже 140 и 128.12. Для обеих выпущены обновления.

Эксплуатация CVE-2025-6430 в Firefox вместе с уязвимостью межсайтового скриптинга (XSS) позволяла злоумышленнику получать доступ к внутренним сервисам организаций, таким как документооборот и CRM, а затем к коммерческой тайне и финансовым данным. Также он мог скомпрометировать учётные данные пользователей, в том числе администраторов корпоративной сети, нарушить бизнес‑процессы и перенаправлять пользователей на фишинговые страницы.

Согласно данным StatCounter, Mozilla Firefox занимает четвёртое место по популярности среди браузеров в мире. Mozilla оценивает аудиторию в 150 млн пользователей. Недостаток безопасности зарегистрирован на портале dbugs, где публикуются сведения об уязвимостях в программном обеспечении и оборудовании.

До устранения CVE-2025-6430 Firefox некорректно использовал механизмы безопасной загрузки встроенных мультимедийных элементов. Просматриваемые пользователем файлы открывались прямо в браузере, а не скачивались. Такое поведение помогало обходить защиту от XSS. В случае эксплуатации злоумышленник мог внедрить на страницу файл с вредоносным кодом JavaScript, который автоматически выполнялся при открытии.

Чтобы исключить опасные последствия, необходимо обновить Firefox до версии не ниже 140.0 и Firefox ESR до версии не ниже 128.12. Если это невозможно, кибербез‑специалисты рекомендуют использовать средства очистки пользовательского ввода, например, библиотеку DOMPurify.

Назад