Критическая уязвимость в Firefox и Thunderbird угрожает миллионам пользователей: обновления уже доступны

В Банк данных угроз безопасности информации (BDU) была внесена запись о критической уязвимости, затрагивающей сразу три популярных продукта компании Mozilla: веб-браузер Firefox, его версию с длительным сроком поддержки Firefox ESR и почтовый клиент Thunderbird. Проблема получила идентификатор BDU:2026-06696 и международный номер CVE-2026-0884. Её опасность сложно переоценить - она классифицируется как критическая, а базовый показатель по шкале CVSS 3.1 достигает 9,8 баллов из 10 возможных. Давайте разберёмся, в чём суть угрозы и кто находится в зоне риска.

Детали уязвимости

Уязвимость относится к типу CWE-416, то есть "использование после освобождения" (use-after-free). Это известный, но крайне опасный класс ошибок в работе с оперативной памятью. Если упрощать, то при обработке данных программа может обратиться к участку памяти, который уже был освобождён и возвращён системе. В результате могут возникнуть самые разные последствия: от неожиданного завершения работы приложения до выполнения произвольного вредоносного кода.

Злоумышленник, действующий удалённо, способен инициировать эту ошибку. Для атаки не требуется ни специальных привилегий, ни какого-либо взаимодействия со стороны пользователя - достаточно, чтобы жертва просто открыла в браузере специально сформированную веб-страницу или в почтовом клиенте вредоносное письмо. Вектор атаки - сетевой, то есть атакующему не нужен физический доступ к устройству. Техника эксплуатации описывается как манипулирование структурами данных, что указывает на необходимость тонкого воздействия на механизмы управления памятью приложений Mozilla.

Уязвимость подтверждена производителем. Наиболее критичны версии Firefox до 147, Firefox ESR до 140.7 и Thunderbird до тех же номеров (140.7 для основной ветки и до 147 для более новых). Однако список уязвимых операционных систем, на которые могут быть установлены эти приложения, поражает своим разнообразием и масштабом.

Под угрозой находятся пользователи практически всех популярных дистрибутивов Linux. Среди перечисленных - Red Hat Enterprise Linux (версии 7, 8, 9, 10 и многочисленные сервисные обновления для SAP и телекоммуникаций), Debian GNU/Linux (версии 11, 12 и свежая 13), Ubuntu 22.04 LTS, а также российская операционная система Astra Linux Special Edition версии 1.7. Это означает, что уязвимость затрагивает не только домашних пользователей, но и корпоративный сектор, государственные учреждения, операторов связи и промышленные предприятия, использующие эти ОС.

Важно отметить, что в описании перечислены именно операционные системы, на которые могут быть установлены уязвимые версии браузера или почтового клиента. Сама же проблема кроется в коде приложений Mozilla, а не в ядре Linux или системных утилитах. Тем не менее, ответственность за выпуск исправленных версий обычно ложится на поддерживающие дистрибутивы организации и компанию Mozilla.

Сама уязвимость, согласно базовым векторам CVSS, позволяет добиться нарушения конфиденциальности, целостности и доступности данных на высоком уровне. На практике это означает, что успешная атака может привести к удалённому выполнению кода с правами текущего пользователя. В результате злоумышленник способен установить программы-вымогатели, похитить пароли, перехватить переписку или просто вызвать нестабильную работу системы вплоть до полного отказа в обслуживании.

Поскольку вектор эксплуатации не требует вмешательства пользователя, а атака может быть проведена удалённо, угроза носит массовый характер. Особенно это критично для почтовых клиентов Thunderbird, которые часто используются для проверки входящей корреспонденции в корпоративной среде. Достаточно одного письма с вредоносным содержимым, чтобы скомпрометировать рабочую станцию или даже весь сегмент сети.

Хорошая новость заключается в том, что производитель и вендоры операционных систем оперативно отреагировали на угрозу. Компания Mozilla выпустила бюллетени безопасности с исправлениями для Firefox (MFSA2026-01), Firefox ESR (MFSA2026-03) и Thunderbird (MFSA2026-04). Для пользователей Firefox версия 147 и выше уже включает исправления. Firefox ESR должен быть обновлён до версии 140.7 и выше. Для Thunderbird минимальная безопасная версия - 140.7.

Разработчики Red Hat, Debian, Ubuntu и Astra Linux также выпустили патчи для своих репозиториев. Пользователям Astra Linux Special Edition рекомендуется обновить пакеты firefox до версии 148.0.2+build1-0ubuntu0.25.10.2astra1 или выше, а thunderbird - до 1:140.7.1+build1-0ubuntu0.22.04.1astra1. Подробные инструкции доступны на вики-странице Astra Linux.

В условиях, когда обновления всё же ещё не установлены, эксперты советуют придерживаться общих правил безопасной настройки операционных систем Linux, изложенных в методическом документе ФСТЭК России от декабря 2022 года. Однако самый надёжный способ защититься - выполнить обновление в ближайшее время.

Уязвимость BDU:2026-06696 - яркий пример того, как типичная программная ошибка в управлении памятью может превратиться в серьёзную угрозу для огромного числа пользователей. Поскольку под ударом находятся пользователи всех основных дистрибутивов Linux, а также специализированной отечественной ОС Astra Linux, промедление с обновлением может стоить дорого. Рекомендуется проверить версии установленных браузеров и почтового клиента прямо сейчас. Для специалистов по информационной безопасности в организациях это также повод провести инвентаризацию и убедиться, что автоматические обновления работают корректно. Игнорировать данное предупреждение не стоит - угроза реальна, а средства защиты уже доступны.

Детали уязвимости

Ссылки