⏺ Positive Technologies нашла и помогла устранить уязвимость в браузере Firefox
Эксперт ИБ-компании Даниил Сатяев нашёл уязвимость в Firefox и его корпоративной версии. C помощью уязвимости злоумышленник мог похищать учётные данные и перенаправлять на фишинговые страницы. Mozilla была уведомлена об угрозе и выпустила обновления для Firefox и Firefox ESR.
Уязвимость CVE-2025-6430 получила оценку 6,1 балла по CVSS 4.0. Ошибка затронула все версии Firefox ниже 140.0 и Firefox ESR младше 128.12. Уязвимости также содержались в версиях Thunderbird ниже 140 и 128.12. Эксплуатация найденой бреши вместе с XSS позволяла получить доступ к внутренним сервисам и коммерческой тайне. Firefox некорректно использовал механизмы безопасной загрузки мультимедийных элементов. Файлы открывались прямо в браузере, что обходило защиту от XSS. Злоумышленник мог скомпрометировать учётные данные администраторов и нарушить бизнес-процессы.
Браузер Firefox занимает четвёртое место по популярности среди браузеров с аудиторией в 150 млн пользователей. Уязвимость зарегистрирована на портале dbugs.
Для исправление проблемы необходимо обновить Firefox до версии не ниже 140.0 и Firefox ESR до версии не ниже 128.12. При невозможности обновления рекомендуется использовать средства очистки пользовательского ввода, такие как DOMPurify.
💬 Участвуйте в новом розыгрыше 💬 Читайте нас в: | Telegram | VK | Сайт |
В этом посте были ссылки, но мы их удалили по правилам Сетки
