Критическая уязвимость в libvpx угрожает пользователям Firefox и Thunderbird

Банк данных угроз безопасности информации (BDU) официально подтвердил информацию о критической уязвимости, затрагивающей популярные продукты Mozilla. Речь идет об ошибке под идентификатором BDU:2026-02014, которая связана с ключевым компонентом libvpx, используемым для обработки видео. Данная уязвимость представляет серьезную угрозу, поскольку затрагивает как браузеры Mozilla Firefox и Firefox ESR, так и почтовый клиент Thunderbird.

Детали уязвимости

С технической точки зрения, проблема классифицируется как переполнение буфера в динамической памяти (CWE-122). Подобные уязвимости возникают, когда программа записывает данные за пределы выделенной области памяти. В данном конкретном случае ошибка находится в библиотеке libvpx, ответственном за декодирование видеоформата VP8/VP9. Эксплуатация этой уязвимости удаленным злоумышленником может привести к полному отказу в обслуживании, что означает аварийное завершение работы приложения. Однако, учитывая высокие оценки по метрикам CVSS, эксперты не исключают возможность выполнения произвольного вредоносного кода.

Уровень опасности определен как критический. Базовая оценка по системе CVSS 2.0 достигает максимального значения 10.0, что подчеркивает серьезность угрозы. Более современная метрика CVSS 3.1 присваивает уязвимости высокий балл 8.8. Ключевыми факторами риска являются возможность атаки через сеть (AV:N), отсутствие необходимости в привилегиях (PR:N) и относительно низкая сложность эксплуатации (AC:L). Пользовательское взаимодействие ограничивается просмотром специально сконструированной веб-страницы или, потенциально, открытием письма с вредоносным контентом в Thunderbird.

Под угрозой находятся широкий спектр версий программного обеспечения. Уязвимость затрагивает Firefox ESR до версии 115.32.1, а также все выпуски в диапазоне от 116.0 до 140.7.1. Что касается стандартного Firefox, то риску подвержены все сборки до 147.0.4. Почтовый клиент Thunderbird уязвим в версиях до 140.7.2 и в релизах с 141.0 по 147.0.2. Следовательно, миллионы пользователей по всему миру могут быть потенциальными жертвами атак, использующих эту брешь в безопасности.

Производитель, корпорация Mozilla, уже подтвердил наличие уязвимости и оперативно выпустил обновления безопасности. Компания опубликовала два отдельных бюллетеня безопасности: MFSA2026-10 для Firefox и Firefox ESR, а также MFSA2026-11 для Thunderbird. Эти документы содержат исчерпывающие технические детали и рекомендации для пользователей. Основной и единственный эффективный способ устранения угрозы - немедленное обновление программного обеспечения до актуальных, защищенных версий.

На текущий момент статус уязвимости обозначен как «устраненная». Тем не менее, киберпреступники часто действуют быстро, пытаясь воспользоваться окном возможностей между объявлением о проблеме и массовым обновлением пользователей. Хотя наличие работающего эксплойта в открытом доступе пока не подтверждено, высокая степень опасности делает вероятным его появление в ближайшее время. Способ эксплуатации основан на манипулировании структурами данных, что является типичным для атак на парсеры мультимедийного контента.

Данный инцидент в очередной раз демонстрирует важность своевременного применения обновлений безопасности. Библиотеки с открытым исходным кодом, такие как libvpx, являются фундаментом современного программного обеспечения, и уязвимости в них имеют широкий резонанс. Пользователям Mozilla Firefox, Firefox ESR и Thunderbird настоятельно рекомендуется проверить и обновить свои приложения через встроенные механизмы обновления.

Таким образом, уязвимость CVE-2026-2447 (BDU:2026-02014) служит серьезным напоминанием о постоянной угрозе, исходящей от сложных программных компонентов. Регулярное обновление остается самым простым и эффективным методом защиты. Ответственность за кибербезопасность лежит не только на разработчиках, но и на конечных пользователях, которые должны оперативно реагировать на подобные предупреждения.

Детали уязвимости

Ссылки