Firefox 144 łata luki wysokiego ryzyka (MFSA 2025-81). Co musisz wiedzieć

Wprowadzenie do problemu / definicja luki

14 października 2025 r. Mozilla opublikowała poradę bezpieczeństwa MFSA 2025-81, która opisuje zestaw podatności naprawionych w Firefox 144. Większość z nich ma wysoki poziom wpływu i obejmuje m.in. błędy bezpieczeństwa pamięci, eskalację wpływu między procesami oraz problem w silniku JS umożliwiający modyfikację niewymazywalnych właściwości obiektów.

W skrócie

• Aktualizacja do Firefox 144 usuwa m.in. UAF w komponencie audio/wideo, błąd OOB R/W wyzwalany przez tekstury WebGL, wyciek informacji przez malicious IPC, oraz możliwość zmiany właściwości obiektu JS oznaczonych jako niewpisywalne.
• Łatki są skorelowane z wydaniem 144.0 (desktop i Android); odpowiednie biuletyny wydano też dla linii ESR oraz Thunderbirda.
• Co najmniej część błędów dotyczy również ESR i Thunderbirda; NVD już śledzi np. CVE-2025-11709 (WebGL → OOB R/W).

Kontekst / historia / powiązania

Mozilla konsekwentnie stosuje sandboxing i separację procesów, ale historia poprawek pokazuje, że błędy na styku procesu treści i procesu uprzywilejowanego wciąż bywają krytyczne — zwłaszcza gdy atak zaczyna się od złośliwej strony WWW i kończy na naruszeniu pamięci w procesie przeglądarki o wyższych uprawnieniach. Wraz z Firefox 144 i równoległymi MFSA dla ESR potwierdzono ten trend, publikując zestaw łatek w jednym cyklu wydawniczym.

Analiza techniczna / szczegóły luki

Najważniejsze wpisy z MFSA 2025-81:

• CVE-2025-11708 — UAF w MediaTrackGraphImpl::GetInstance() (wysoki): klasyczny use-after-free w grafie ścieżek mediów; potencjalnie prowadzi do awarii lub wykonania kodu po dereferencji zwolnionego wskaźnika.
• CVE-2025-11709 — OOB R/W w procesie uprzywilejowanym przez zmanipulowane tekstury WebGL (wysoki): proces treści może wymusić odczyty/zapisy poza zakresem w bardziej uprzywilejowanym procesie. Dotyczy też ESR/Thunderbird.
• CVE-2025-11710 — wyciek informacji międzyprocesowych (wysoki): złośliwe komunikaty IPC mogły skłonić proces przeglądarki do ujawnienia bloków pamięci procesowi niższego zaufania.
• CVE-2025-11711 — modyfikacja własności JS oznaczonych jako non-writable (wysoki): obejście ograniczeń atrybutów deskryptora własności w JS, z potencjałem na naruszenie założeń izolacji skryptów.
• Android (średnie/niski): m.in. otwieranie linków z sandboxed iframe w zewnętrznych aplikacjach bez wymaganej zgody; spoofing paska adresu przy zdarzeniu visibilitychange; ograniczenia prezentacji hosta w Custom Tabs sprzyjające podszywaniu.
• Zbiorcze „Memory safety bugs” (wysokie): tradycyjny pakiet błędów bezpieczeństwa pamięci załatanych w gałęziach 144/140.4/115.29.

Z perspektywy deweloperskiej wydanie 144 wprowadza także zmiany w platformie (MDN/Firefox 144 for developers), co pomaga osadzić poprawki w harmonogramie rozwojowym.

Praktyczne konsekwencje / ryzyko

• Zdalne wykonanie kodu (RCE) lub eskalacja wpływu są możliwe poprzez łańcuchy exploitów zaczynające się od treści WebGL/JS i kończące na błędach pamięci w procesie uprzywilejowanym.
• Utrata poufności danych procesu przeglądarki (CVE-2025-11710) przez wycieki pamięci via IPC.
• Ataki socjotechniczne na Androidzie (spoofing UI, otwieranie zewnętrznych aplikacji) zwiększają ryzyko phishingu i eskalacji poza przeglądarkę.
• Z punktu widzenia zespołów IT: rządy i CERT-y już rekomendują niezwłoczne aktualizacje w środowiskach Windows/Android, co podnosi priorytet wdrożenia.

Rekomendacje operacyjne / co zrobić teraz

1. Zaktualizuj do Firefox 144 na desktopie i Androidzie; w środowiskach korporacyjnych przejdź do ESR 140.4 lub 115.29 zgodnie z polityką.
2. Włącz wymuszone aktualizacje przez MDM/Intune/GPO dla stacji roboczych; priorytet: urządzenia z akceleracją WebGL, użytkownicy uprzywilejowani, systemy Windows. (Potwierdzenie wersji docelowych: MFSA/Release Notes).
3. Monitoruj telemetry i crash-reports po aktualizacji, szczególnie rozszerzenia korzystające z Native Messaging (CVE-2025-11719 dot. Windows). Rozważ tymczasowe wyłączenie podejrzanych rozszerzeń.
4. Twarde ustawienia na Androidzie: zablokuj otwieranie zewnętrznych aplikacji z iframe, edukuj użytkowników o fałszywych paskach adresu, rozważ ograniczenie użycia Custom Tabs w appkach korporacyjnych.
5. Testy regresyjne dla aplikacji WebGL/Canvas (QA): sprawdź zgodność po stronie front-endu i ewentualne feature-flags. Podpieraj się dokumentacją dla deweloperów 144.

Różnice / porównania z innymi przypadkami

• WebGL jako wektor do procesu uprzywilejowanego nie jest nowy, ale ten przypadek (CVE-2025-11709) łączy OOB R/W z przełamaniem granicy procesów — podobnie jak wcześniejsze luki klasy cross-process memory corruption. Różnicą jest tu rola manipulowanych tekstur jako triggera.
• JS non-writable property bypass (CVE-2025-11711) to kategoria rzadziej spotykana niż typowe UAF/OOB; bardziej zagraża spójności modeli bezpieczeństwa opartych na założeniach o niezmienności właściwości.

Podsumowanie / kluczowe wnioski

• Wydanie Firefox 144 zamyka ciąg błędów wysokiego ryzyka, z których najgroźniejsze dotyczą pamięci i granic między procesami.
• Dla SOC/IT: traktuj aktualizację jako pilną, szczególnie na Windows i Androidzie, oraz przeglądnij polityki dotyczące rozszerzeń i WebGL.
• Dla zespołów web/dev: sprawdź wpływ na ścieżki WebGL/Canvas i zachowanie JS po stronie klienta.

Źródła / bibliografia

1. Mozilla Foundation Security Advisory 2025-81: „Security Vulnerabilities fixed in Firefox 144” (14.10.2025). (Mozilla)
2. Firefox 144 — Release Notes (desktop, 14.10.2025). (Firefox)
3. NVD — CVE-2025-11709 (WebGL → OOB R/W) – zakres i dotknięte produkty. (NVD)
4. MDN — „Firefox 144 for developers” (kontekst zmian). (MDN Web Docs)
5. GovCERT Hong Kong — alert zbiorczy dot. MFSA 2025-81/-82/-83/-84/-85 (rekomendacje aktualizacji). (govcert.gov.hk)