Mozilla je izdala Firefox 140, rješavajući više kritičnih sigurnosnih ranjivosti, uključujući visoko utjecajnu ranjivost tipa “use-after-free” koja bi mogla dovesti do izvršavanja koda.
Ovo ažuriranje ispravlja dvanaest različitih sigurnosnih propusta, od problema s memorijskom sigurnošću do ranjivosti specifičnih za platformu, koje utječu na desktop i mobilne verzije pretraživača.
Ispravljene su sigurnosne propuste od visokog utjecaja.
CVE-2025-6424: Use-after-free u FontFaceSetu
CVE-2025-6424 je ranjivost visokog utjecaja tipa “use-after-free” koju su u komponenti FontFaceSet u Firefoxu otkrili sigurnosni istraživači LJP i HexRabbit iz DEVCORE Research Teama. Ranivost tipa “use-after-free” nastaje kada program nastavi koristiti memoriju nakon što je ona oslobođena ili dodijeljena, što dovodi do korupcije memorije. U ovom specifičnom slučaju, ranjivost je prisutna u FontFaceSetu, koji je dio Firefoxovog sistema za obradu fontova i upravlja web fontovima i operacijama učitavanja fontova. Kada se aktivira, ovaj propust rezultuje potencijalno iskoristivim padom sustava koji napadači mogu iskoristiti za izvršavanje proizvoljnog koda na žrtvinom sistemu.
CVE-2025-6436: Zbirka grešaka u vezi sa memorijskom sigurnošću
CVE-2025-6436 obuhvaća višestruke ranjivosti u vezi sa memorijskom sigurnošću koje su postojale u Firefoxu 139 i Thunderbirdu 139. Ovaj CVE prijavio je interni sigurnosni tim Mozille, uključujući Andrewa McCreighta, Gabriele Svelto, Beth Rennie i Mozilla Fuzzing Team, što ukazuje da je otkriven kroz tekuće procese sigurnosnog testiranja Mozille. Za razliku od jedne specifične ranjivosti, CVE-2025-6436 predstavlja zbirku problema sa memorijskom sigurnošću koji su pokazali dokaze o korupciji memorije. Greške u vezi sa memorijskom sigurnošću mogu uključivati prelijevanje međuspremnika, uvjete “use-after-free”, dvostruke greške oslobađanja i druge greške u upravljanju memorijom.
Dodatni sigurnosni propusti
Ažuriranje takođe rješava CVE-2025-6425, ranjivost umjerenog utjecaja gdje je WebExtension WebCompat izložio trajni UUID koji bi se mogao koristiti za praćenje korisnika u različitim kontejnerima i načinima pregledavanja. Sigurnosni istraživač Rob Wu idenfikovao je problem privatnosti koji bi napadačima mogao omogućiti trajno praćenje preglednika. CVE-2025-6426, propust niskog utjecaja, utječe na Firefox za macOS, gdje bi izvršne datoteke s ekstenzijom terminala bile otvorene bez odgovarajućih dijaloga upozorenja, potencijalno izlažući korisnike izvršavanju malicioznog softvera. Ovu ranjivost prijavio je sigurnosni istraživač pwn2car. Korisnici Androida imaju koristi od ispravki za dva zasebna problema. CVE-2025-6428 riješio je ranjivost manipulacije URL-om gdje bi Firefox za Android pogrešno pratio URL-ove navedene u parametrima upita linka umjesto namijenjenog odredišta, potencijalno olakšavajući phishing napade. Dodatno, CVE-2025-6431 riješio je mehanizam zaobilaženja upita za vanjske aplikacije, što bi moglo izložiti korisnike sigurnosnim ranjivostima u aplikacijama trećih strana. Izdavanje uključuje ispravke za nekoliko ranjivosti zaobilaženja politike sigurnosti sadržaja (CSP). CVE-2025-6427 je riješio zaobilaženje direktive connect-src putem manipulacije poddokumentima, dok je CVE-2025-6430 riješio probleme s rukovanjem zaglavljem Content-Disposition u embed i object oznakama koji bi mogli dovesti do napada unakrsnog skriptiranja (XSS).
Korisnici bi trebali odmah ažurirati na Firefox 140 kako bi se zaštitili od ovih ranjivosti. Sveobuhvatna priroda ovih ispravki, posebno problema sa memorijskom sigurnošću visokog utjecaja, čini ovo ažuriranje kritičnim za održavanje sigurnosti preglednika. Sistemski administratori bi trebali dati prioritet implementaciji ovog ažuriranja u cijeloj mrežnoj infrastrukturi organizacije kako bi spriječili potencijalnu eksploataciju dokumentiranih ranjivosti.
