Mozilla je službeno izdala Firefox 137, rješavajući višestruke sigurnosne ranjivosti visoke ozbiljnosti koje bi potencijalno mogle dozvoliti udaljenim napadačima da izvrše proizvoljni kod, pokrenu uslove uskraćivanja usluge ili podignu privilegije na pogođenim sistemima.
Ovo kritično sigurnosno ažuriranje, objavljeno 1. aprila 2025., popravlja nekoliko sigurnosnih grešaka u memoriji i ranjivosti bez upotrebe koje su predstavljale značajan rizik za korisnike prethodnih verzija.
Visoko-sigurnosni popravci
CVE-2025-3028
Najveća zabrinjavajuća ranjivost zakrpljena u ovom izdanju je CVE-2025-3028, koju je otkrio Ivan Fratric iz Google Project Zero.
Ova ranjivost koja ima veliki uticaj na korišćenje bez upotrebe može se pokrenuti kada se pokrene JavaScript kod dok transformiše dokument pomoću XSLTProcessor.
Ako se iskoristi, ova mana bi potencijalno mogla dozvoliti napadačima da izvrše proizvoljan kod na sistemu žrtve.
Greška je uticala na verzije Firefoxa starije od 137, Firefox ESR verzije ispod 115.22 i 128.9 i verzije Thunderbirda ispod 137 i 128.9. Mozilla je to riješila u Firefoxu 137 kroz poboljšano upravljanje memorijom tokom XSLT obrade.
CVE-2025-3030
Mozilla se također pozabavila CVE-2025-3030, kritičnom sigurnosnom greškom u memoriji koja je prisutna u Firefoxu 136 i drugim Mozilla proizvodima.
Prema sigurnosnim istraživačima Sylvestre Ledru, Paul Bone i Mozilla Fuzzin tim, ove greške su pokazale dokaze oštećenja memorije i potencijalno bi se mogle iskoristiti za pokretanje proizvoljnog koda uz dovoljno truda.
Zakrpljeni u Firefoxu 137 i povezanim ažuriranjima ESR/Thunderbird, popravci su uključivali poboljšanu provjeru valjanosti memorije i saniranje u cijeloj bazi koda.
CVE-2025-3034
Izvještavali Andrew McCreight i Mozilla Fuzzinski tim, posebno su ciljali na probleme sigurnosti memorije u Firefoxu 136 i Thunderbirdu 136.
Ove greške, koncentrisane u kompajleru Just-In-Time (JIT) i modulima za obradu e-pošte, pokazale su jasne dokaze oštećenja memorije.
Ispravke u Firefox-u 137 i Thunderbird-u 137 uključivale su pooštravanje sigurnosnih provjera JIT kompajlera i rješavanje uvjeta utrke u rukovanju memorijom.
Adresirane dodatne ranjivosti
Ažuriranje također popravlja CVE-2025-3035, koji je uzrokovao da Firefox propušta naslove dokumenata u upite za ćaskanje u verzijama prije 137.
Još jedna značajna ispravka uključivala je CVE-2025-3029, ranjivost umjerenog uticaja koja je uključivala lažiranje URL trake korišćenjem ne-BMP Unicode znakova, gdje je izrađeni URL mogao sakriti pravo porijeklo web stranice, omogućavajući potencijalne napade lažiranja.
Nadalje, CVE-2025-3031 je popravio problem gdje su napadači mogli potencijalno pročitati 32 bita vrijednosti prosutih na stog u JIT kompajliranim funkcijama.
Istraživači sigurnosti su identifikovali CVE-2025-3032, ranjivost gdje bi deskriptori datoteka sa fork servera mogli procuriti u procese web sadržaja, potencijalno omogućavajući napade eskalacije privilegija.
Ove ranjivosti zajedno predstavljaju ozbiljne sigurnosne rizike, uključujući uskraćivanje usluge, podizanje privilegija, daljinsko izvršavanje koda, lažiranje i otkrivanje informacija.
Uticaj i preporuke
Ranjivosti ispravljene u Firefoxu 137 utiču na sve starije verzije pretraživača. Mozilla je istovremeno objavila ažuriranja za druge proizvode u svom ekosistemu, uključujući Firefox ESR 115.22, Firefox ESR 128.9, Thunderbird 137 i Thunderbird ESR 128.9.
Stručnjaci za sigurnost snažno preporučuju da se svi korisnici Firefoxa odmah ažuriraju kako bi se smanjio rizik od eksploatacije.
Organizacije koje koriste Firefox u poslovnim okruženjima trebale bi dati prednost ovom ažuriranju, posebno imajući u vidu visok CVSS rezultat od 9,8 koji je dodijeljen nekim od ovih ranjivosti, što ukazuje na kritičnu ozbiljnost.
Ove greške u sigurnosti memorije pokazale su jasne dokaze o obrascima korupcije koje bi hakeri potencijalno mogli iskoristiti za proizvoljno izvršenje koda.
Korisnici mogu ažurirati Firefox otvaranjem menija pretraživača, odabirom “Pomoć” i klikom na “O Firefoxu”, koji će automatski provjeriti i instalirati dostupna ažuriranja.
Za one koji ne mogu odmah da se ažuriraju, stručnjaci za bezbjednost preporučuju privremeno prelazak na alternativne pretraživače dok se ažuriranje ne može primijeniti, jer ne postoje pouzdana rešenja za ove ranjivosti.
Izdanje Firefox 137 demonstrira Mozilla-inu stalnu posvećenost brzom i transparentnom rješavanju sigurnosnih problema. Korisnici se podstiču da omoguće automatska ažuriranja za sve Mozilla proizvode kako bi osigurali da dobiju sigurnosne zakrpe čim postanu dostupne.
Izvor: CyberSecurityNews
