Mozilla устранила уязвимость в браузере Firefox, найденную экспертом Positive Technologies

Эксперт PT SWARM Даниил Сатяев обнаружил дефект безопасности в Mozilla Firefox, одном из самых популярных в мире браузеров, включая его корпоративную версию. Проэксплуатировав уязвимость после внедрения вредоносного кода на случайном сайте, нарушитель смог бы похищать учетные данные и перенаправлять пользователей на фишинговые страницы. Вендор был уведомлен об угрозе в рамках политики ответственного разглашения и выпустил обновление для Firefox и Firefox ESR.

Уязвимость PT-2025-30487 (CVE-2025-6430, BDU:2025-07582) получила оценку 6,1 балла по шкале CVSS 4.0. Ошибка затронула все версии Firefox ниже 140.0, а также корпоративный Firefox ESR младше 128.12. Согласно информации вендора, недостатку безопасности были также подвержены две линейки почтовой программы Thunderbird: уязвимости содержались в версиях ниже 140 и 128.12. Для обеих были выпущены обновления.

Проэксплуатировав дефект безопасности в браузере Firefox вместе с уязвимостью, связанную с межсайтовым скриптингом (XSS), злоумышленник потенциально мог бы: получить доступ к внутренним сервисам организации, например к документообороту и системе для управления взаимодействием с клиентами (CRM), а затем — к коммерческой тайне и финансовым данным; скомпрометировать учетные данные пользователей, в том числе администраторов корпоративной сети, и нарушить бизнес-процессы организации; перенаправлять пользователей на фишинговые страницы для похищения учетных данных.

«До устранения CVE-2025-6430 Firefox некорректно использовал механизмы безопасной загрузки встраиваемых мультимедийных элементов, из-за чего просматриваемые пользователем файлы (документы, изображения, видеозаписи) открывались прямо в браузере, а не скачивались. Такое поведение системы могло помочь злоумышленнику в обходе некоторых механизмов защиты от уязвимостей, приводящих к атакам типа XSS, — сказал Даниил Сатяев, младший специалист отдела исследований безопасности банковских систем, Positive Technologies. — Воспользовавшись межсайтовым скриптингом на одном из веб-ресурсов, нарушитель смог бы внедрить на страницу файл c вредоносным кодом на языке JavaScript, который жертва автоматически выполнила бы при его открытии».

Чтобы предотвратить опасные последствия, необходимо в кратчайшие сроки обновить Firefox до версии не ниже 140.0 и Firefox ESR — до версии не ниже 128.12. Если установить актуальную версию браузера невозможно, эксперт Positive Technologies рекомендует применять средства очистки пользовательского ввода, например, библиотеку DOMPurify.

Это не первый случай за последний год, когда специалисты Positive Technologies помогли пресечь возможность проведения атак с использованием межсайтового скриптинга. В начале 2025 г. Даниил Сатяев в составе группы специалистов отдела исследований безопасности банковских систем помог закрыть ряд брешей в системе автоматизации техподдержки FreeScout, среди которых были уязвимости, связанные с межсайтовым скриптингом. Руководитель группы экспертизы Алексей Соловьев и специалист группы проектов Ян Чижевский из отдела анализа защищенности веб-приложений обнаружили 23 уязвимости (BDU:2024-06382 — BDU:2024-06404) в отечественной системе управления сайтами NetCat CMS, в числе которых были ошибки, позволявшие реализовать XSS-атаки.

Для детектирования недостатков безопасности в ИТ-инфраструктуре Positive Technologies рекомендует использовать MaxPatrol VM. Защититься от эксплуатации уязвимостей помогут межсетевые экраны уровня веб-приложений, такие как PT Application Firewall, у которого также есть облачная версия — PT Cloud Application Firewall. Обнаружив вредоносную активность, продукт отправляет уведомление в MaxPatrol SIEM и не дает злоумышленнику продолжить атаку. Существенно снизить риски также можно с помощью средств для выявления потенциальных маршрутов кибератак и автоматизации непрерывного контроля киберустойчивости (MaxPatrol Carbon).

Узнавать об актуальных недостатках безопасности можно на портале dbugs, где аккумулируются данные об уязвимостях в программном обеспечении и оборудовании производителей со всего мира и приводятся рекомендации вендоров по их устранению.