Mozilla випустила виправлення для CVE-2025-6430 — вразливості середньої критичності (CVSS 4.0: 6.1), виявленої експертом Positive Technologies Даніілом Сатяєвим. Помилка могла використовуватися у зв’язці з міжсайтовим скриптингом (XSS) і призводити до викрадення облікових даних, перехоплення сесій і непомітних перенаправлень на фішингові сторінки.
Які версії Firefox/ESR/Thunderbird уражені та де доступні патчі
Проблема торкалася всіх збірок Firefox нижче 140.0 і Firefox ESR нижче 128.12. Також уразливими були дві гілки Thunderbird: версії нижче 140 та нижче 128.12. Для всіх перелічених лінійок уже доступні оновлення безпеки, які рекомендується встановити негайно.
Механізм: як CVE-2025-6430 підсилювала наслідки XSS
Коренем проблеми стала помилка у реалізації «безпечного завантаження» вбудованих мультимедійних об’єктів. У низці сценаріїв файли, які користувач переглядав на сайті, рендерилися у браузері замість примусового завантаження. Це створювало шлях для обходу локальних противаг XSS і підвищувало шанс виконання небажаного коду.
Якщо зловмисник уже мав XSS на вразливому веб-ресурсі, він міг розмістити файл із шкідливим JavaScript. Через некоректну логіку обробки контенту цей файл виконувався під час відкриття користувачем сторінки, що сприяло компрометації сесії та подальшим атакам із підвищеним довір’ям до домену.
Наслідки для користувачів: перехоплення cookie і фішингові редіректи
Потенційні наслідки включають перехоплення cookies та сесійних токенів, маніпуляції з формами входу для викрадення імен користувачів і паролів, а також непомітні перенаправлення на фішингові сайти. Ризик особливо високий на легітимних платформах із великим рівнем довіри, де XSS може певний час лишатися непоміченим.
Оцінка ризику: середній CVSS проти підвищених ризиків у ланцюжках атак
Хоча формальна оцінка становить 6.1 за CVSS 4.0, у реальних умовах комбінація з XSS істотно підсилює вплив. За підходами OWASP, ін’єкції, зокрема XSS, стабільно входять до переліку найпоширеніших проблем веб-безпеки (див. OWASP Top 10). Тому «підсилювачі» XSS, подібні до CVE-2025-6430, потребують оперативного виправлення як на стороні клієнта, так і на рівні додатків.
Рекомендації з кібергігієни та захисту
Що робити користувачам і ІТ-відділам
Оновіть Firefox до версії не нижче 140.0, Firefox ESR — не нижче 128.12, а Thunderbird — не нижче 140 або 128.12 відповідно до гілки. Переконайтеся, що автооновлення увімкнені, і перезапустіть застосунки після встановлення патчів. Звертайте увагу на неочікувані запити на автентифікацію чи раптові редіректи — це типові індикатори фішингу.
Що робити розробникам і власникам сайтів
Мінімізуйте XSS на стороні застосунку: впроваджуйте очищення та безпечну серіалізацію вхідних даних; для роботи з HTML використовуйте перевірені бібліотеки на кшталт DOMPurify.
Впроваджуйте Content Security Policy (CSP) з забороною inline-скриптів і жорсткими списками дозволених джерел. Коректно встановлюйте Content-Disposition: attachment для файлів, що мають завантажуватися, і перевіряйте MIME-типи, аби уникнути небажаного рендерингу.
Додавайте заголовки X-Content-Type-Options: nosniff і Referrer-Policy для зменшення ризиків контент-міксапів і витоку контексту. Проводьте регулярні динамічні та статичні тести безпеки, моніторинг аномалій у продакшені та відпрацьовуйте сценарії реагування на інциденти.
Оперативне оновлення Firefox, ESR і Thunderbird закриває CVE-2025-6430, однак реальна стійкість залежить від сукупності заходів: дисципліни оновлень на клієнтських пристроях, належної конфігурації заголовків, CSP і гігієни коду. Перевірте свої версії прямо зараз, увімкніть автооновлення та перегляньте політики безпеки застосунків — це швидкі кроки, що суттєво знижують імовірність успішної експлуатації XSS і фішингових атак.
