CRITICAL🇬🇧 English

CVE-2025-13024

Błędna kompilacja JIT w silniku JavaScript Mozilla Firefox i Thunderbird

CVSS 9.8v3.1pub. 2025-11-11upd. 2026-04-13

Podatność w komponencie JIT (Just-In-Time compilation) silnika JavaScript produktów Mozilla Firefox i Thunderbird powoduje błędną kompilację kodu, co może prowadzić do krytycznych konsekwencji bezpieczeństwa. Ocena CVSS 9.8 wskazuje na możliwość zdalnego wykonania kodu bez jakiegokolwiek uwierzytelnienia lub interakcji użytkownika.

Pokaż oryginał (EN)

JIT miscompilation in the JavaScript Engine: JIT component. This vulnerability was fixed in Firefox 145 and Thunderbird 145.

🤖 Analiza AI
Jak działa

Błąd polega na nieprawidłowej kompilacji kodu JavaScript przez komponent JIT (Just-In-Time) silnika JavaScript. Kompilator JIT przekształca kod JavaScript w natywne instrukcje procesora w celu przyspieszenia działania — wadliwa kompilacja może prowadzić do nieprzewidywalnego zachowania pamięci lub wykonania niezamierzonego kodu maszynowego. Sklasyfikowana jako CWE-733 (Improper JIT Compilation), podatność może być wywołana przez specjalnie spreparowany kod JavaScript dostarczony np. za pośrednictwem złośliwej strony internetowej.

Skutki

Atakujący może doprowadzić do naruszenia poufności, integralności oraz dostępności systemu, potencjalnie uzyskując możliwość zdalnego wykonania dowolnego kodu (RCE) w kontekście przeglądarki lub klienta pocztowego ofiary.

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 145 lub nowszej oraz Mozilla Thunderbird do wersji 145 lub nowszej. Poprawka jest dostępna w oficjalnych kanałach dystrybucji Mozilla.

Kogo dotyczy

Mozilla Firefox w wersjach przed 145 oraz Mozilla Thunderbird w wersjach przed 145.

Uwagi

Podatność została naprawiona jednocześnie w Firefox 145 i Thunderbird 145, co wskazuje na wspólną bazę kodu silnika JavaScript w obu produktach Mozilla.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 145.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...