Эксплуатация уязвимости была возможна после внедрения вредоносного кода на случайный сайт, и затем злоумышленник получал возможность похищать учетные данные и перенаправлять пользователей на фишинговые страницы.

Уязвимость в Mozilla Firefox обнаружил эксперт Positive Technologies Даниил Сатяев. Проблема получила идентификатор CVE-2025-6430 (PT-2025-30487) и набрала 6,1 балла по шкале CVSS 4.0.

Ошибка затрагивала все версии Firefox ниже 140.0, а также корпоративный Firefox ESR младше 128.12. В настоящее время патчи выпущены и для Firefox, и для Firefox ESR.

Кроме того, по информации разработчиков, проблеме также были подвержены две линейки почтовой программы Thunderbird: уязвимости содержались в версиях ниже 140 и 128.12. Для обеих тоже выпущены обновления.

Исследователь объясняет, что используя CVE-2025-6430 в Firefox, наряду с проблемой межсайтового скриптинга (XSS), злоумышленник потенциально мог:

  • получить доступ к внутренним сервисам организации, например к документообороту и системе для управления взаимодействием с клиентами (CRM), а затем — к коммерческой тайне и финансовым данным;
  • скомпрометировать учетные данные пользователей, в том числе администраторов корпоративной сети, и нарушить бизнес-процессы организации;
  • перенаправлять пользователей на фишинговые страницы для похищения учетных данных.

«До устранения CVE-2025-6430 Firefox некорректно использовал механизмы безопасной загрузки встраиваемых мультимедийных элементов, из-за чего просматриваемые пользователем файлы (документы, изображения, видеозаписи) открывались прямо в браузере, а не скачивались. Такое поведение системы могло помочь злоумышленнику в обходе некоторых механизмов защиты от уязвимостей, приводящих к атакам типа XSS. Воспользовавшись межсайтовым скриптингом на одном из веб-ресурсов, нарушитель смог бы внедрить на страницу файл c вредоносным кодом на языке JavaScript, который жертва автоматически выполнила бы при его открытии», — рассказал Даниил Сатяев, младший специалист отдела исследований безопасности банковских систем, Positive Technologies.

Пользователям рекомендуется как можно скорее обновить Firefox до версии не ниже 140.0 и Firefox ESR — до версии не ниже 128.12. Если установить актуальную версию браузера невозможно, эксперты советуют применять средства очистки пользовательского ввода, например библиотеку DOMPurify.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • Открыть комментарии
    Подписаться
    Уведомить о
    0 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии