Банк данных угроз безопасности информации (BDU) подтвердил критическую уязвимость в популярных продуктах Mozilla - браузере Firefox и почтовом клиенте Thunderbird. Ошибка, получившая идентификаторы BDU:2026-04823 и CVE-2026-5735, связана с опасной операцией записи за границами буфера и позволяет удаленному злоумышленнику выполнить произвольный код на атакуемой системе. Производитель уже выпустил обновления, устраняющие проблему, а пользователям настоятельно рекомендуется немедленно обновить программное обеспечение.
Детали уязвимости
Уязвимость затрагивает все версии Firefox и Thunderbird до 149.0.2. Она классифицируется как «Уязвимость кода» и имеет тип «Запись за границами буфера» согласно общепринятому перечню CWE-787. Эксплуатация такой ошибки обычно подразумевает манипулирование структурами данных в памяти приложения. В результате атакующий может выйти за пределы выделенного фрагмента памяти и записать туда произвольные данные. Эта операция способна привести к полному перехвату контроля над процессом браузера или почтового клиента.
Главную опасность уязвимости подчеркивают её максимальные оценки по шкале CVSS. Базовый балл CVSS 2.0 составляет 10.0, что соответствует критическому уровню опасности. Более современная метрика CVSS 3.1 присваивает уязвимости 9.8 баллов. Обе оценки характеризуют угрозу как чрезвычайно серьезную. Вектор атаки оценивается как сетевой, не требующий специальных привилегий или взаимодействия с пользователем. Следовательно, для успешной атаки достаточно, чтобы жертва посетила специально созданный веб-сайт через уязвимый Firefox или открыла специально сформированное письмо в Thunderbird.
Успешная эксплуатация может привести к полной компрометации системы. Атакующий получает возможность выполнить произвольный код, что на практике означает установку вредоносного ПО, кражу конфиденциальных данных или создание точки постоянного доступа в систему для дальнейших атак. В контексте корпоративной среды это создает риск для всей сети, особенно если скомпрометированное устройство имеет доступ к внутренним ресурсам. Учитывая распространенность Firefox и Thunderbird, потенциальный масштаб угрозы является значительным.
Производитель, Mozilla Corp., оперативно отреагировал на обнаруженную проблему. Уязвимость уже подтверждена и устранена. Информация об исправлении опубликована в бюллетене безопасности MFSA2026-28 на официальном сайте Mozilla. Пользователям необходимо обновить и Firefox, и Thunderbird до версии 149.0.2 или новее. Процесс обновления обычно запускается автоматически, но для гарантии можно проверить наличие обновлений вручную через меню «Справка» -> «О Firefox» или «Справка» -> «О Thunderbird». При этом приложение самостоятельно загрузит и установит последнюю версию.
На текущий момент данные о наличии активных эксплойтов, использующих эту уязвимость, уточняются. Однако история показывает, что критические уязвимости в распространенном ПО быстро привлекают внимание киберпреступников. Поэтому задержка с обновлением создает неоправданный риск. Особенно это актуально для организаций, где процессы массового обновления ПО могут требовать дополнительного времени на тестирование. Тем не менее, учитывая критичность угрозы, такие обновления следует рассматривать как первоочередные.
Данный инцидент в очередной раз демонстрирует важность своевременного применения исправлений безопасности. Продукты с открытым исходным кодом, такие как Firefox, хотя и проходят активный аудит сообществом, не застрахованы от опасных ошибок. Регулярное обновление остается самым простым и эффективным способом защиты. Эксперты по кибербезопасности также напоминают, что даже при использовании актуального ПО следует соблюдать базовые правила цифровой гигиены. Например, не стоит переходить по подозрительным ссылкам и открывать вложения из непроверенных источников, что особенно актуально для пользователей почтовых клиентов.
Ссылки
- https://bdu.fstec.ru/vul/2026-04823
- https://www.cve.org/CVERecord?id=CVE-2026-5735
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-28/
