Критическая уязвимость в графическом движке Mozilla угрожает безопасности браузеров и почтовых клиентов

В Банке данных угроз безопасности информации (BDU) зарегистрирована новая критическая уязвимость, затрагивающая популярные продукты Mozilla Foundation. Уязвимость с идентификатором BDU:2026-03391 и CVE-2026-0879 обнаружена в компоненте Graphics, отвечающем за обработку графики. Ошибка классифицируется как выход операции за границы буфера в памяти (CWE-119). Данный дефект позволяет удаленному злоумышленнику потенциально раскрывать защищаемую информацию, манипулируя структурами данных. Производитель уже подтвердил наличие проблемы и выпустил обновления.

Детали уязвимости

Эксперты присвоили уязвимости максимальный уровень опасности. Базовая оценка по шкале CVSS 3.1 достигает 9.8 баллов из 10. Столь высокий балл обусловлен тем, что для эксплуатации не требуются специальные привилегии или действия пользователя. Угроза оценивается как критическая, поскольку успешная атака может привести к полному компрометированию конфиденциальности и целостности данных. Следовательно, злоумышленник способен получить контроль над системой.

Под угрозой находятся актуальные версии браузера Firefox, его корпоративной ветки Firefox ESR и почтового клиента Thunderbird. Уязвимыми являются Firefox версий ниже 147, Thunderbird версий ниже 147, а также Firefox ESR версий ниже 140.7 и 115.32. Важно отметить, что проблема не ограничивается самими приложениями. Она также затрагивает множество дистрибутивов Linux, которые поставляют эти продукты в своих репозиториях.

Список уязвимых операционных систем обширен. В него входят Red Hat Enterprise Linux (ветки 7, 8, 9, 10 и различные варианты поддержки), Debian GNU/Linux (версии 11, 12, 13), Ubuntu 22.04 LTS. Кроме того, под риском находится отечественная операционная система РЕД ОС 8.0, включенная в реестр российского ПО. Таким образом, угроза актуальна как для корпоративных инфраструктур, так и для частных пользователей.

Метод эксплуатации связан с манипуляцией структурами данных в графическом движке. Удаленный злоумышленник может создать специальный веб-контент или электронное письмо. При обработке этого контента возникает ошибка выхода за границы буфера. В результате возможно несанкционированное чтение памяти процесса. Это, в свою очередь, ведет к утечке чувствительной информации. На момент публикации новости наличие работающего эксплойта уточняется.

Единственным эффективным способом устранения угрозы является немедленное обновление программного обеспечения. Компания Mozilla уже выпустила исправления. Пользователям Firefox необходимо обновиться до версии 147 или выше. Владельцы Thunderbird должны установить версию 147 или новее. Для корпоративных пользователей Firefox ESR актуальными являются версии 140.7 и 115.32. Все обновления закрывают данную уязвимость.

Производители операционных систем также оперативно отреагировали. Компания Red Hat выпустила бюллетень безопасности и обновленные пакеты. Владельцы систем Debian и Ubuntu могут получить исправления через официальные репозитории безопасности. Разработчик РЕД ОС опубликовал патчи на своем сервере обновлений. Ссылки на все официальные бюллетени и инструкции приведены в карточке уязвимости BDU. Поэтому администраторам следует незамедлительно проверить наличие и установить соответствующие патчи.

В условиях, если установка обновления по каким-либо причинам невозможна, рекомендуется следовать стандартным мерам предосторожности. Например, можно временно ограничить использование уязвимых приложений для обработки непроверенного контента. ФСТЭК России, кроме того, советует применять общие рекомендации по безопасной настройке Linux-систем. Однако эти меры носят лишь временный характер и не заменяют установку официального исправления.

Данный случай в очередной раз подчеркивает важность своевременного обновления программного обеспечения. Графические компоненты, являясь сложными системами, остаются привлекательной мишенью для киберпреступников. Уязвимости типа выхода за границы буфера часто используются в цепочках атак для получения первоначального доступа. Затем злоумышленники закрепляются в системе (persistence) и разворачивают основной вредоносный модуль (payload). Поэтому закрытие таких критических дыр должно быть приоритетной задачей для всех отделов информационной безопасности.