Firefox 146 łata krytyczne luki: WebRTC UAF, sandbox escape w CanvasWebGL i obejście SOP (MFSA 2025-92)

Wprowadzenie do problemu / definicja luki

Mozilla opublikowała MFSA 2025-92, zestaw poprawek bezpieczeństwa dla Firefox 146, który zamyka m.in. use-after-free w WebRTC (CVE-2025-14321), ucieczkę z sandboxa w CanvasWebGL (CVE-2025-14322), eskalację uprawnień w DOM Notifications (CVE-2025-14323) oraz obejście Same-Origin Policy (CVE-2025-14331). Część błędów ma status „high”, a podatności pamięciowe standardowo mogą prowadzić do zdalnego wykonania kodu.

W skrócie

• Aktualizacja: przejdź do Firefox 146 (stabilny) lub odpowiednich wydań ESR 115.31 / 140.6.
• Najpoważniejsze wektory: WebRTC (UAF), CanvasWebGL (sandbox escape), Request Handling (obejście SOP).
• Dotknięte wersje: w zależności od CVE – przeważnie Firefox < 146, a dla części błędów także ESR < 115.31 i/lub ESR < 140.6.

Kontekst / historia / powiązania

Wersja Firefox 146 została udostępniona 9 grudnia 2025 r. i oprócz funkcjonalnych zmian zawiera zestaw istotnych łatek bezpieczeństwa opisanych w MFSA 2025-92. Linie ESR otrzymały równoległe poprawki (MFSA 2025-93 / 2025-94), co jest najważniejsze dla środowisk korporacyjnych z długim cyklem testów.

Analiza techniczna / szczegóły luki

CVE-2025-14321 — WebRTC: Signaling (use-after-free, „high”)
Błąd użycia po zwolnieniu pamięci w ścieżce sygnalizacji WebRTC. Dotyczy Firefox < 146 oraz ESR < 140.6; w sprzyjających warunkach może prowadzić do korupcji pamięci i wykonania kodu.

CVE-2025-14322 — Graphics: CanvasWebGL (sandbox escape, „high”)
Nieprawidłowe warunki brzegowe umożliwiają ucieczkę z sandboxa podczas przetwarzania WebGL. Dotyczy Firefox < 146, ESR < 115.31 oraz ESR < 140.6. To szczególnie groźne w scenariuszach z aktywną treścią 3D/graficzną.

CVE-2025-14323 — DOM: Notifications (privilege escalation, „high”)
Błąd w obsłudze API powiadomień DOM mogący skutkować eskalacją uprawnień. Wpływa na Firefox < 146 oraz obie linie ESR (zależnie od buildów).

CVE-2025-14331 — Request Handling (Same-Origin Policy bypass, „moderate”)
Możliwe obejście SOP, co otwiera drogę do nieautoryzowanego odczytu zasobów między domenami w określonych warunkach. Wpływa na Firefox < 146, ESR < 115.31 i ESR < 140.6.

Inne poprawki: m.in. błędy w JIT (CVE-2025-14324/30), GMP A/V UAF (CVE-2025-14326), Downloads Panel (spoofing, CVE-2025-14327), Netmonitor (priv-esc, CVE-2025-14328/29) oraz zbiorcze „memory safety bugs” w 146 i ESR 140.6.

Praktyczne konsekwencje / ryzyko

• RCE przez treści webowe: UAF oraz błędy bezpieczeństwa pamięci (w tym JIT) tradycyjnie dają realne ścieżki do zdalnego wykonania kodu po wejściu na złośliwą stronę.
• Izolacja naruszona: CanvasWebGL z obejściem sandboxa potencjalnie przełamuje model ochrony procesu treści.
• Wycieki danych między domenami: obejście SOP może umożliwić ataki cross-origin (np. kradzież danych z zalogowanych aplikacji).
• Środowiska korporacyjne (ESR): część podatności dotyka ESR, więc opóźnianie rolloutów zwiększa okno ekspozycji. Organizacje powinny traktować aktualizację jako pilną.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja przeglądarek:
   • Stabilny kanał: do Firefox 146.
   • ESR: do 115.31 i/lub 140.6 – zgodnie z Twoją linią wdrożeniową.
2. Weryfikacja zgodności w przedsiębiorstwie: użyj Firefox for Enterprise Release Notes do oceny wpływu zmian na polityki, GPO, rozszerzenia i narzędzia.
3. Higiena dodatków i treści: ogranicz/monitoruj obciążające ścieżki (WebRTC, WebGL) w krytycznych stacjach do czasu pełnego rolloutu; egzekwuj polityki about:policies oraz CSP tam, gdzie to możliwe. (Wniosek ogólny oparty o naturę błędów.)
4. Monitorowanie i detekcja anomalii:
   • crash-logi procesów content/GPU w okolicy Canvas/WebGL,
   • nietypowe żądania cross-origin (sygnał prób obejścia SOP),
   • incydenty z udziałem WebRTC/Notifications. (Wniosek operacyjny.)
5. Zarządzanie ryzykiem użytkowników wysokiego profilu: przyspiesz aktualizacje na stacjach adminów, deweloperów oraz zespołów z dostępem do danych wrażliwych.

Różnice / porównania z innymi przypadkami

• Podobnie jak w poprzednich wydaniach, Mozilla zbiorczo oznacza „memory safety bugs” jako potencjalnie prowadzące do RCE — to standard w ich biuletynach. Nowością tej tury jest konstelacja trzech krytycznych obszarów naraz: WebRTC, CanvasWebGL i SOP.
• Linie ESR są aktualizowane równolegle (115.31 / 140.6), co podkreśla wagę poprawek dla środowisk z wydłużonym cyklem wsparcia.

Podsumowanie / najważniejsze wnioski

• Zaktualizuj teraz: Firefox 146 i odpowiednie ESR zamykają luki o potencjale RCE, sandbox escape i naruszeniu SOP.
• Najwyższy priorytet w firmach: luki dotykają ESR, więc rollout powinien być traktowany jako pilny task bezpieczeństwa.
• Monitoruj symptomy: awarie procesów treści/GPU, anomalie cross-origin i aktywność WebRTC/Notifications.

Źródła / bibliografia

• Mozilla Foundation Security Advisory MFSA 2025-92 – „Security Vulnerabilities fixed in Firefox 146”. (9 grudnia 2025). (Mozilla)
• Firefox 146 – Release Notes (9 grudnia 2025). (firefox.com)
• NVD – wpis CVE-2025-14321 (WebRTC UAF). (NVD)
• NVD – wpis CVE-2025-14322 (CanvasWebGL sandbox escape). (NVD)
• Mozilla MFSA 2025-93 (ESR 115.31) – powiązane łatki/wersje ESR. (Mozilla)