Всего один HTTP-заголовок должен был спасти пользователей. Браузер решил его проигнорировать.


Команда PT SWARM (отдел безопасности из Positive Technologies) сообщила об устранении уязвимости в браузере Firefox, которая могла позволить злоумышленникам обойти механизм безопасной загрузки файлов. Проблему обнаружил сотрудник компании Даниил Сатяев, после чего разработчики Mozilla оперативно выпустили обновления.

Уязвимость получила идентификатор CVE-2025-6430 . Её суть заключалась в некорректной обработке заголовка «Content-Disposition», отвечающего за указание браузеру, как следует поступать с загружаемым файлом. В нормальных условиях наличие этого заголовка должно принуждать браузер сохранять файл, а не открывать его напрямую.

Однако выяснилось, что при использовании HTML-тегов «<embed>» или «<object>» это требование игнорировалось. В результате файлы, предназначенные только для загрузки, могли открываться прямо в окне браузера. Такая ситуация создавала риск атак с внедрением вредоносного кода, включая сценарии с использованием уязвимостей типа XSS.

Проблема затрагивала версии Firefox ниже 140, а также корпоративные сборки Firefox ESR младше 128.12. После получения уведомления от Positive Technologies специалисты Mozilla устранили уязвимость и включили необходимые исправления в свежие версии браузера.

Подобные недостатки представляют серьёзную угрозу безопасности, особенно для сайтов, которые полагаются на механизм принудительной загрузки файлов для защиты от возможного исполнения контента внутри браузера. Игнорирование заголовка могло приводить к тому, что пользователи, сами того не осознавая, открывали потенциально опасные файлы прямо на веб-странице.

Разработчики Mozilla призвали пользователей обновить браузеры до актуальных версий, чтобы минимизировать риск атак, связанных с этой уязвимостью. Компании также порекомендовали пересмотреть логику обработки вложений на своих сайтах, учитывая возможные обходы стандартных защитных механизмов.

Filename: K-Lite_Codec_Pack_1905_Mega.exe
Size: 65501 KB
MD5: 76eb948020a9faccba614a420494cb2a
SHA256: b12bc6aa41c5dbd1be7d083ab3e94eef55466b22ed0db4091bb9e8cd953aec0e