В конце апреля 2026 года Mozilla выпустила крупное обновление для своего флагманского браузера Firefox 150, а также патчи для веток с длительной поддержкой (Extended Support Release, ESR) - версий 140.10.0 и 115.35.0. Однако главной новостью стал не сам релиз, а беспрецедентный масштаб устранённых проблем безопасности. В рамках одного цикла обновлений разработчики закрыли 359 уязвимостей, подавляющее большинство из которых - 345 - связаны с критическими ошибками управления памятью. Этот релиз знаменует собой поворотный момент в индустрии, демонстрируя, как инструменты на основе искусственного интеллекта кардинально меняют процессы поиска и устранения багов, выявляя тысячи потенциально опасных мест в коде, которые могли оставаться незамеченными годами.
Детали уязвимостей
Согласно официальному бюллетеню Mozilla Foundation Security Advisory 2026-30, опубликованному 21 апреля 2026 года, общее воздействие исправленных проблем оценено как высокое. Большинство уязвимостей - это классические для языков программирования C и C++ ошибки: обращение к уже освобождённой памяти (use-after-free), переполнения буферов, работа с неинициализированной памятью и некорректные проверки границ. Вредоносный сайт, эксплуатирующий подобные уязвимости, мог бы вызвать сбой в работе браузера или, что гораздо опаснее, выполнить произвольный код на устройстве пользователя, что является первым шагом к полному компрометированию системы. Особое внимание привлекает тот факт, что 271 уязвимость была обнаружена в ходе автоматизированной проверки кода с помощью ИИ-модели Claude Mythos от компании Anthropic. Это не просто единичный эксперимент, а систематическая работа, результаты которой легли в основу масштабных групповых идентификаторов уязвимостей CVE-2026-6784, CVE-2026-6785 и CVE-2026-6786, под которыми объединены 321 проблема.
Помимо массовых исправлений, связанных с памятью, в обновлении устранён ряд отдельных высокоуровневых уязвимостей. Например, CVE-2026-6746 - это ошибка типа use-after-free в ядре DOM (объектной модели документа) и компонентах HTML, обнаруженная группой исследователей с использованием всё того же ИИ-инструмента Claude. Проблемы в компонентах WebRTC (CVE-2026-6747, CVE-2026-6752, CVE-2026-6753), отвечающих за передачу аудио и видео в реальном времени, также получили высокий рейтинг критичности. Они могли позволить атакующему нарушить работу коммуникаций или выполнить код. Уязвимости в подсистемах графики WebRender (CVE-2026-6750) и WebGPU (CVE-2026-6773), а также в механизмах JavaScript и WebAssembly представляют угрозу для стабильности и конфиденциальности. Отдельного упоминания заслуживают ошибки, приводящие к раскрытию информации, например, в компоненте автозаполнения форм (CVE-2026-6765) или в подсистеме IP-защиты (CVE-2026-6782), которые могут утечь чувствительные данные пользователя.
Последствия подобного количества одновременно исправленных уязвимостей носят двоякий характер. С одной стороны, это демонстрирует серьёзный прогресс в методологии обеспечения безопасности с открытым исходным кодом. Использование ИИ для фаззинга - автоматического тестирования путём подачи на вход программы неверных, неожиданных или случайных данных - позволило выявить глубинные, редко проявляющиеся ошибки, которые человек мог бы искать годами. С другой стороны, сам масштаб обнаруженных проблем указывает на фундаментальную сложность обеспечения безопасности в современных браузерах, которые представляют собой миллионы строк кода, объединяющего десятки высокосложных компонентов. Для конечных пользователей и корпоративных ИТ-отделов этот релиз является жёстким напоминанием о критической важности своевременного обновления программного обеспечения. Задержка с установкой патча даже на несколько дней оставляет системы открытыми для потенциальных атак, особенно если детали уязвимостей станут достоянием злоумышленников.
Эксперты в области кибербезопасности отмечают, что релиз Firefox 150 может стать точкой отсчёта для новой эры. Доля уязвимостей, обнаруженных с помощью ИИ, будет только расти, что повысит общий уровень безопасности ПО, но одновременно изменит ландшафт ответственного разглашения информации и патч-менеджмента. Компаниям и обычным пользователям следует ожидать более частых и объёмных обновлений. Между тем, рекомендации для специалистов остаются неизменными, но приобретают дополнительную актуальность: необходимо обеспечить централизованное и максимально быстрое развёртывание обновлений для всех браузеров в корпоративной сети, уделяя особое внимание не только основным, но и версиям с длительной поддержкой (ESR), которые часто используются в бизнес-среде. Кроме того, инцидент подчёркивает важность защиты на уровне сети, например, с помощью систем предотвращения вторжений (IPS), которые могут блокировать попытки эксплуатации известных уязвимостей до момента установки обновлений. В конечном итоге, хотя ИИ и становится мощным союзником в борьбе с уязвимостями, человеческий фактор - дисциплинированность в применении исправлений - по-прежнему остаётся ключевым звеном в цепочке безопасности.
