В Банке данных угроз безопасности информации (BDU) появилась запись BDU:2026-06947, описывающая критическую ошибку в популярных продуктах Mozilla. Речь идёт о браузерах Firefox, Firefox ESR (версия с расширенной поддержкой для корпоративных пользователей) и почтовом клиенте Thunderbird. Уязвимость получила идентификатор CVE-2026-6771 и оценку 9,8 балла по шкале CVSS 3.1. Это максимальный уровень опасности, который требует немедленного реагирования.
Детали уязвимости
Суть проблемы кроется в компоненте DOM (объектная модель документа, внутреннее представление веб-страницы в браузере). Злоумышленник, действующий удалённо, может обойти процедуры проверки подлинности за счёт использования альтернативного пути или канала. Иными словами, атакующий способен заставить браузер или почтовый клиент неправильно интерпретировать запросы, что открывает доступ к конфиденциальным данным и функциям системы без ввода логина и пароля. Тип ошибки классифицируется как CWE-288 - обход аутентификации с помощью нестандартного маршрута.
Для обычного Firefox уязвимы все сборки до версии 150 включительно. Для Firefox ESR - версии младше 140.10. Thunderbird страдает сразу в двух диапазонах: до версии 140.10 и до версии 150. При этом производитель уже подтвердил наличие уязвимости и выпустил исправления. Соответствующие уведомления вышли под номерами MFSA2026-30, MFSA2026-32, MFSA2026-33 и MFSA2026-34. Пользователям и системным администраторам настоятельно рекомендуется установить последние обновления.
Почему эта уязвимость так опасна? Оценка 9,8 из 10 подразумевает, что для атаки не требуется никаких привилегий и действий жертвы (например, нажатия на ссылку). Достаточно просто зайти на враждебный сайт или открыть вредоносное письмо в Thunderbird. Злоумышленник может удалённо выполнить произвольный код, похитить учётные данные, установить программы-вымогатели (ransomware) или закрепиться в системе. В терминах CVSS это означает полную потерю конфиденциальности, целостности и доступности данных.
Механизм эксплуатации пока не раскрыт полностью, но ясно, что уязвимость затрагивает работу с DOM. Как правило, такие лазейки возникают из-за недостаточной проверки ввода при обработке специально сформированных HTML-документов или расширений. Например, злоумышленник может передать браузеру ссылку, содержащую нестандартный символ или последовательность, которая заставляет интерпретатор DOM игнорировать защитные проверки. В результате нарушитель получает возможность выполнять вызовы к внутренним функциям браузера, миновав стандартные процедуры аутентификации.
Стоит отметить, что уязвимость подтверждена производителем, однако наличие готового эксплойта пока не подтверждено. Тем не менее практика показывает: как только технические детали уязвимости становятся известны, злоумышленники быстро создают рабочие версии атак. Именно поэтому медлить с установкой обновлений нельзя.
Для специалистов по информационной безопасности ситуация служит напоминанием о важности своевременного обновления браузеров и почтовых клиентов в корпоративной среде. Даже если пользователи не замечают внешних признаков атаки, уязвимость может быть использована для скрытого внедрения вредоносного кода. В организациях стоит проверить, не остались ли рабочие станции на старых версиях Firefox ESR или Thunderbird. Особенно это касается тех систем, где обновления откладываются из-за совместимости с внутренним программным обеспечением. В таких случаях рекомендуется временно ограничить доступ к сомнительным веб-ресурсам и усилить контроль за входящей почтой.
Подводя итог, можно сказать: обнаруженная ошибка - одна из наиболее серьёзных за последний год в экосистеме Mozilla. Она позволяет обходить аутентификацию без каких-либо усилий со стороны жертвы и затрагивает миллионы устройств по всему миру. Разработчики уже выпустили патчи, и их установка - единственный надёжный способ защиты. Пользователям следует обновить Firefox до версии 150 и выше, Firefox ESR до 140.10 и выше, Thunderbird до 140.10 или 150 соответственно. Игнорирование этой рекомендации может привести к утечке данных, финансовым потерям и компрометации корпоративной сети.
Ссылки
- https://bdu.fstec.ru/vul/2026-06947
- https://www.cve.org/CVERecord?id=CVE-2026-6771
- https://www.mozilla.org/security/advisories/mfsa2026-30/
- https://www.mozilla.org/security/advisories/mfsa2026-32/
- https://www.mozilla.org/security/advisories/mfsa2026-33/
- https://www.mozilla.org/security/advisories/mfsa2026-34/
