Mozilla выпустила исправления для CVE-2025-6430 — уязвимости средней степени опасности (CVSS 4.0: 6,1), обнаруженной экспертом Positive Technologies Даниилом Сатяевым. В ряде сценариев проблема могла использоваться совместно с межсайтовым скриптингом (XSS), что открывало путь к краже учетных данных и перенаправлению на фишинговые страницы. Обновления уже доступны для Firefox и корпоративной ветки ESR, а также для почтового клиента Thunderbird.
Затронутые версии и статус патчей
Подвержены все сборки Firefox ниже 140.0 и Firefox ESR ниже 128.12. По информации разработчиков, уязвимость также затрагивала две линейки Thunderbird: версии ниже 140 и ниже 128.12. Для всех перечисленных веток выпущены обновления безопасности; пользователям и администраторам рекомендуется немедленно установить актуальные версии.
Механизм атаки: почему CVE-2025-6430 усиливала XSS
Суть проблемы заключалась в некорректном применении механизмов «безопасной загрузки» встроенных мультимедийных элементов. В ряде случаев файлы, которые пользователь просматривал на сайте (документы, изображения, видео), рендерились прямо в браузере вместо того, чтобы принудительно скачиваться. Это могло помочь обойти отдельные защитные меры против XSS.
Если злоумышленник предварительно внедрял XSS на уязвимом веб-ресурсе, он мог разместить на странице файл с вредоносным JavaScript. Из‑за некорректной логики загрузки такой файл выполнялся при открытии пользователем, что создавало условия для компрометации сессии и последующих атак.
Последствия: кража сессий и фишинговые перенаправления
Возможные последствия включали перехват cookie и токенов сессии, похищение учетных данных через подмену форм или внесение скрытых скриптов, а также перенаправление на фишинговые страницы без явного участия пользователя. Риск особенно высок на легитимных сайтах с высоким уровнем доверия, где внедренный XSS часто остается незамеченным.
Оценка риска: средняя по CVSS, повышенная в реальных цепочках
Формально уязвимость имеет оценку 6,1 по CVSS 4.0, то есть среднюю опасность. Однако в практических условиях совмещение с XSS значительно увеличивает вероятность компрометации. По подходам OWASP, XSS стабильно входит в число наиболее распространенных уязвимостей веб-приложений, поэтому подобные «усилители» XSS заслуживают оперативного устранения.
Рекомендации по защите
Пользователям и ИТ-отделам
Обновите Firefox до версии не ниже 140.0, Firefox ESR — не ниже 128.12, а также Thunderbird — не ниже 140 или 128.12 в зависимости от ветки. Проверьте включение автообновлений, перезапустите приложения после установки патчей. Будьте внимательны к всплывающим запросам авторизации и неожиданным перенаправлениям: это характерные признаки попыток фишинга.
Разработчикам и владельцам сайтов
Даже при обновлении браузеров критично снизить вероятность XSS на стороне приложений. Рекомендуется:
— применять очистку пользовательского ввода и безопасную сериализацию; при работе с HTML использовать проверенные библиотеки, например DOMPurify;
— настраивать Content Security Policy (CSP), запрещая inline-скрипты и ограничивая источники;
— корректно задавать Content-Disposition для загрузок (attachment), а также MIME-типы для предотвращения некорректного рендеринга;
— включать заголовки X-Content-Type-Options: nosniff и Referrer-Policy;
— проводить регулярные тесты безопасности и мониторинг аномалий на продакшене.
Своевременное обновление Firefox, ESR и Thunderbird закрывает уязвимость CVE-2025-6430, однако устойчивость к атакам определяется целой цепочкой факторов. Комбинация базовой гигиены безопасности на стороне пользователя и строгих практик разработки (очистка ввода, CSP, корректные заголовки) существенно снижает вероятность эксплуатаций через XSS и фишинг. Проверьте версии браузеров прямо сейчас и внесите предложенные меры в ваш план безопасности.
