ГлавнаяБаза уязвимостей БДУ → BDU:2025-06223
5средняя

BDU:2025-06223

Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird, позволяющая нарушителю получить несанкционированный доступ к защищаемой информации
Опубликовано: 2025-06-01
Описание

Уязвимость механизма CORS браузеров Mozilla Firefox, Firefox ESR и почтового клиента Thunderbird связана с отсутствием проверки достоверности источника данных или сообщения. Эксплуатация уязвимости может позволить нарушителю, действующему удаленно, получить несанкционированный доступ к защищаемой информации

Затрагиваемое ПО и версии
РЕД ОС (7.3)Astra Linux Special Edition (1.7)Astra Linux Special Edition (4.7)Astra Linux Common Edition (1.6 «Смоленск»)АЛЬТ СП 10Firefox ESR (до 128.11)Firefox ESR (до 115.24)Thunderbird (до 139)Thunderbird (до 128.11)Firefox (до 139)ОСОН ОСнова Оnyx (до 2.14)ОСОН ОСнова Оnyx (до 3.1)
Способ устранения

В условиях отсутствия обновлений безопасности от производителя рекомендуется придерживаться "Рекомендаций по безопасной настройке операционных систем LINUX", изложенных в методическом документе ФСТЭК России, утверждённом 25 декабря 2022 года.

Использование рекомендаций:
Для браузеров Mozilla Firefox, Mozilla Firefox ESR, почтового клиента Mozilla Thunderbird:
https://www.mozilla.org/security/advisories/mfsa2025-42/
https://www.mozilla.org/security/advisories/mfsa2025-43/
https://www.mozilla.org/security/advisories/mfsa2025-44/
https://www.mozilla.org/security/advisories/mfsa2025-45/
https://www.mozilla.org/security/advisories/mfsa2025-46/

Для РедОС: http://repo.red-soft.ru/redos/7.3c/x86_64/updates/

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Для ОС Astra Linux:
- обновить пакет firefox до 140.0.4+build1-0ubuntu0.25.04.1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
- обновить пакет thunderbird до 1:128.12.0+build1-0ubuntu0.20.04.1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17

Для ОС АЛЬТ СП 10: установка обновления из публичного репозитория программного средства: https://altsp.su/obnovleniya-bezopasnosti/

Обновление программного обеспечения thunderbird до версии 1:140.3.0esr+repack-1~deb11u1.osnova2u1

Обновление программного обеспечения firefox-esr до версии 140.3.0esr+repack-1~deb11u2.osnova2u1

Для ОС Astra Linux:
- обновить пакет firefox до 140.0.4+build1-0ubuntu0.25.04.1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47
- обновить пакет thunderbird до 1:128.12.0+build1-0ubuntu0.20.04.1astra1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se47-bulletin-2025-1020SE47

Для ОС Astra Linux:
- обновить пакет firefox до 145.0.2+build1-0ubuntu0.25.04.1astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16
- обновить пакет thunderbird до 1:140.6.0+build2-0ubuntu0.22.04.1astra1+ci1 или более высокой версии, используя рекомендации производителя: https://wiki.astralinux.ru/astra-linux-se16-bulletin-20251225SE16

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения firefox-esr до версии 140.6.0esr+repack-1~deb12u1.osnova3u1

Для ОСОН ОСнова Оnyx: Обновление программного обеспечения thunderbird до версии 1:140.6.0esr+repack-1~deb12u1.osnova3u1

Оценка CVSS
Балл5 — средняя опасность
Источники и патчи
https://www.mozilla.org/security/advisories/mfsa2025-42/https://www.mozilla.org/security/advisories/mfsa2025-43/https://www.mozilla.org/security/advisories/mfsa2025-44/https://www.mozilla.org/security/advisories/mfsa2025-45/https://www.mozilla.org/security/advisories/mfsa2025-46/http://repo.red-soft.ru/redos/7.3c/x86_64/updates/https://altsp.su/obnovleniya-bezopasnosti/https://wiki.astralinux.ru/astra-linux-se17-bulletin-2025-0923SE17
Проверьте безопасность своего сайта и почты → Полная проверка домена