Банк данных угроз безопасности информации (BDU) зарегистрировал сразу две практически идентичные уязвимости, затрагивающие браузеры Mozilla Firefox, Firefox ESR, почтовый клиент Thunderbird, а также отечественную операционную систему РЕД ОС. Обе проблемы получили идентификаторы BDU:2026-08457 и BDU:2026-08458, а также международные номера CVE-2026-4721 и CVE-2026-4720 соответственно. Событие заслуживает пристального внимания, поскольку речь идёт о критическом уровне опасности, а список уязвимых продуктов включает как популярное зарубежное ПО, так и российскую сертифицированную платформу. По сути, злоумышленник, действуя удалённо, может полностью захватить контроль над компьютером жертвы или вызвать отказ в обслуживании.
Детали уязвимостей
Суть обеих уязвимостей идентична - ошибка связана с выходом операции за границы буфера в памяти. Если говорить проще, то классическое переполнение буфера возникает, когда программа копирует данные в отведённую область памяти без проверки их размера. Атакующий может специально сформировать такой запрос или файл, который переполнит выделенный буфер, и за счёт этого перезаписать соседние участки памяти. В результате нарушитель получает возможность выполнить произвольный код или вызвать сбой системы. Тип ошибки по международной классификации CWE-120 как раз и называется "Копирование буфера без проверки размера входных данных".
Согласно данным BDU, уязвимый диапазон версий довольно широк. Для обычного браузера Firefox проблема затрагивает все выпуски до версии 149. Для версии с расширенной поддержкой Firefox ESR уязвимы сборки до 115.34 и до 140.9. Почтовый клиент Thunderbird также требует обновления до версии 149 или до 140.9. Однако важная деталь - российская операционная система РЕД ОС версий 7.3 и 8.0 тоже попала в список уязвимого ПО. Это означает, что пользователи, которые применяют данные дистрибутивы (оба входят в Единый реестр российских программ), могут быть атакованы через те же самые уязвимости в составе браузера или почтового клиента, предустановленного или устанавливаемого в системе.
Оценки опасности по стандарту CVSS подтверждают серьёзность угрозы. Версия 2.0 даёт максимальный балл 10,0, а версия 3.1 - 9,8. Обе оценки характеризуются как критические. Вектор атаки - сетевой, сложность низкая, для эксплуатации не требуется никаких привилегий или взаимодействия с пользователем, а последствия затрагивают конфиденциальность, целостность и доступность в полном объёме. Иными словами, чтобы атака удалась, жертве достаточно открыть вредоносную страницу в браузере или перейти по ссылке в письме в Thunderbird. Дополнительные манипуляции, такие как установка дополнительного вредоносного ПО, не нужны.
Производители уже отреагировали. Компания Mozilla выпустила ряд бюллетеней безопасности: mfsa2026-20, mfsa2026-22, mfsa2026-23 и mfsa2026-24. Они описывают исправления для соответствующих версий. Разработчики РЕД ОС со своей стороны тоже подготовили обновления, ссылки на которые доступны через поиск по номеру CVE на официальном портале компании. Способ устранения - обновление программного обеспечения до актуальных версий. Производитель подтвердил статус уязвимости, а информация об исправлении уже опубликована. Сейчас данные об эксплойте уточняются, но способ эксплуатации классифицирован как манипулирование структурами данных.
Чем это грозит на практике? Прежде всего, под ударом оказываются корпоративные и государственные организации, которые используют РЕД ОС для обеспечения информационной безопасности. Ведь эта операционная система часто применяется на объектах критической информационной инфраструктуры или в системах, требующих импортозамещения. Если сотрудник такого предприятия откроет в Firefox вредоносный сайт или в Thunderbird письмо со специально сформированным вложением, злоумышленник может получить полный контроль над рабочей станцией. А дальше - развитие атаки вглубь сети: похищение данных, установка программ-вымогателей или шифровальщиков, вывод из строя сервисов.
Специалистам по информационной безопасности стоит немедленно проверить версии используемых браузеров и почтового клиента в своей организации. Если применяются дистрибутивы РЕД ОС, то необходимо интегрировать обновления в процедуру централизованного управления патчами. Ждать появления готового эксплойта не стоит - вероятность его скорой публикации довольно высока, учитывая критичность и простоту эксплуатации.
Хорошая новость заключается в том, что обновления уже доступны. Плохая - что далеко не все пользователи и администраторы успеют установить их вовремя. Как показывает практика, после выхода уведомления об уязвимости злоумышленники начинают активно разрабатывать инструменты для атаки. Поэтому медлить нельзя.
В заключение отмечу: эта пара уязвимостей ещё раз напоминает о важности своевременного обновления даже, казалось бы, привычного программного обеспечения. Firefox, Thunderbird и российская РЕД ОС - не исключение. Если вы используете эти продукты, проверьте версии прямо сейчас и установите все необходимые исправления. Риск крайне высок, но его можно минимизировать простым и быстрым действием.
Ссылки
- https://bdu.fstec.ru/vul/2026-08457
- https://bdu.fstec.ru/vul/2026-08458
- https://www.cve.org/CVERecord?id=CVE-2026-4721
- https://www.cve.org/CVERecord?id=CVE-2026-4720
- https://www.mozilla.org/security/advisories/mfsa2026-20/
- https://www.mozilla.org/security/advisories/mfsa2026-22/
- https://www.mozilla.org/security/advisories/mfsa2026-23/
- https://www.mozilla.org/security/advisories/mfsa2026-24/
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-4721
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-4720
