CRITICAL🇬🇧 English

CVE-2025-14330

Błędna kompilacja JIT w silniku JavaScript Mozilla Firefox i Thunderbird

CVSS 9.8v3.1pub. 2025-12-09upd. 2026-04-13

Podatność krytyczna w komponencie JIT (Just-In-Time compilation) silnika JavaScript produktów Mozilla Firefox i Thunderbird polega na nieprawidłowej kompilacji kodu, co może prowadzić do poważnych konsekwencji bezpieczeństwa. Ocena CVSS 9.8 wskazuje na możliwość pełnego naruszenia poufności, integralności i dostępności systemu bez jakiegokolwiek uwierzytelnienia.

Pokaż oryginał (EN)

JIT miscompilation in the JavaScript Engine: JIT component. This vulnerability was fixed in Firefox 146, Firefox ESR 140.6, Thunderbird 146, and Thunderbird 140.6.

🤖 Analiza AI
Jak działa

Błąd dotyczy komponentu JIT silnika JavaScript, który kompiluje kod skryptowy do instrukcji maszynowych w celu przyspieszenia wykonania. Nieprawidłowa kompilacja (miscompilation) może powodować błędy zarządzania pamięcią, w tym przepełnienie bufora (CWE-119), użycie nieprawidłowego typu danych (CWE-843 — type confusion) oraz błędy wywołań funkcji z niepoprawnymi typami argumentów (CWE-686). Atakujący może dostarczyć specjalnie spreparowany kod JavaScript, który po kompilacji JIT wygeneruje nieprawidłowe instrukcje prowadzące do wykonania arbitralnego kodu.

Skutki

Zdalny, nieuwierzytelniony atakujący może potencjalnie wykonać dowolny kod (RCE) w kontekście procesu przeglądarki lub klienta poczty, co może skutkować pełnym przejęciem kontroli nad aplikacją oraz kompromitacją systemu ofiary.

Mitygacja

Należy niezwłocznie zaktualizować oprogramowanie do wersji Firefox 146, Firefox ESR 140.6, Thunderbird 146 lub Thunderbird 140.6, w których podatność została usunięta. Szczegółowe informacje dostępne są w poradnikach bezpieczeństwa Mozilla pod adresami mfsa2025-92, mfsa2025-94, mfsa2025-95 i mfsa2025-96.

Kogo dotyczy

Mozilla Firefox przed wersją 146, Mozilla Firefox ESR przed wersją 140.6, Mozilla Thunderbird przed wersją 146 oraz Mozilla Thunderbird ESR przed wersją 140.6.

Uwagi

Podatność sklasyfikowana jako krytyczna (CVSS 9.8) z wektorem sieciowym, bez wymaganego uwierzytelnienia i interakcji użytkownika. Skojarzenie CWE obejmuje m.in. type confusion (CWE-843) oraz buffer overflow (CWE-119), co jest typowym profilem podatności umożliwiających RCE w silnikach JavaScript. Poprawka opublikowana 2025-12-09.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 140.6.0< 146.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 140.6.0< 146.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...