Критические уязвимости в браузере Firefox и почтовом клиенте Thunderbird затронули ОС Astra Linux

Специалисты по информационной безопасности зафиксировали сразу три опасные уязвимости в популярном веб-браузере Firefox и почтовом клиенте Thunderbird от компании Mozilla Corp. Все три проблемы касаются не только настольных версий этих приложений для зарубежных платформ, но и отечественной операционной системы Astra Linux Special Edition версии 1.8. Надо сказать, что этот инцидент заслуживает пристального внимания, особенно со стороны российских организаций, использующих сертифицированные решения, ведь последствия эксплуатации этих уязвимостей могут оказаться весьма серьёзными.

Детали уязвимостей

В Банк данных угроз безопасности информации (BDU) ФСТЭК России были внесены записи под номерами BDU:2026-06193 (CVE-2026-2797), BDU:2026-06194 (CVE-2026-2796) и BDU:2026-06195 (CVE-2026-2795). Все они объединены общим вектором атаки: злоумышленник может удалённо воздействовать на систему. При этом для запуска атаки не требуется ни предварительной аутентификации пользователя, ни его активного участия - достаточно просто заставить жертву открыть специально подготовленную веб-страницу или электронное письмо.

Первая уязвимость, BDU:2026-06193, связана с компонентом сборщика мусора (GC) браузера Firefox и почтового клиента Thunderbird. Если говорить простыми словами, в программном коде допущена ошибка, известная как "использование памяти после её освобождения". Это означает, что приложение продолжает обращаться к участку оперативной памяти, который уже был помечен как свободный и возвращён системе. В результате нарушитель может перезаписать эту область своими данными, что приведёт либо к аварийному завершению работы программы (отказ в обслуживании), либо, при определённых условиях, к выполнению произвольного кода.

Вторая проблема, BDU:2026-06194, кроется в компоненте WebAssembly. WebAssembly - это специальный формат исполняемого кода, который современные браузеры используют для запуска сложных веб-приложений. Ошибка здесь относится к классу CWE-843 - доступ к ресурсу через несовместимые типы. Проще говоря, программа неправильно интерпретирует данные, путая один тип данных с другим. Это может привести к тем же последствиям: нарушению работы приложения и потенциальному получению контроля над системой.

Третья уязвимость, BDU:2026-06195, практически идентична первой. Она также обнаружена в компоненте GC и связана с ошибочным использованием освобождённой памяти. Судя по всему, это самостоятельная, хотя и похожая по типу ошибка, которую инженеры Mozilla устранили отдельным патчем.

Что особенно важно для российского рынка информационной безопасности, все три уязвимости подтверждены производителем для операционной системы Astra Linux Special Edition 1.8. Компания "РусБИТех-Астра" официально включила эти проблемы в свой бюллетень безопасности. Напомню, что Astra Linux - это не просто дистрибутив Linux, а сертифицированная система, активно применяемая в государственных учреждениях, оборонной промышленности и на объектах критической информационной инфраструктуры. Если злоумышленник сможет успешно атаковать Firefox или Thunderbird в такой среде, последствия могут быть куда более серьёзными, чем просто падение браузера: от утечки конфиденциальных данных до полного компрометации рабочей станции.

Оценка опасности, присвоенная этим уязвимостям по шкале CVSS 3.1, составляет 9,8 балла из 10. Это критический уровень. Причина столь высокой оценки проста: для атаки не требуется никаких дополнительных привилегий, она может быть проведена удалённо, а воздействие оценивается как полное нарушение конфиденциальности, целостности и доступности информации. Иными словами, если бы эти уязвимости уже эксплуатировались в реальных атаках, любой пользователь, перешедший по вредоносной ссылке или открывший письмо с особым содержимым, рисковал бы полностью потерять контроль над своим компьютером.

Хотя на момент публикации точных сведений о существовании готового эксплойта нет, практика показывает, что подобные критические ошибки в популярных программах привлекают внимание злоумышленников. Поэтому затягивать с обновлением крайне не рекомендую.

К счастью, производители уже отреагировали на угрозу. Компания Mozilla выпустила обновлённые версии своих продуктов. Для Firefox и Thunderbird необходимо установить сборку 148.0 или более новую. Более того, компания "РусБИТех-Астра" оперативно подготовила обновление пакета Firefox до версии 148.0.2+build1-0ubuntu0.25.10.1astra1. Его уже можно загрузить из репозитория операционной системы, следуя официальным рекомендациям.

Теперь несколько практических советов для администраторов и специалистов по защите информации. В первую очередь обновите все экземпляры Firefox и Thunderbird в вашей сети, особенно на рабочих станциях, где используются сертифицированные версии Astra Linux. Обратите внимание: почтовый клиент Thunderbird тоже подвержен этим уязвимостям, поэтому не забудьте и про него. Если в организации настроена централизованная система управления обновлениями, стоит как можно быстрее применить соответствующие патчи. Проверьте также, что политики безопасности не блокируют установку обновлений из разрешённых источников.

В целом этот инцидент лишний раз напоминает нам о том, что безопасность программного обеспечения - это непрерывный процесс. Даже самые проверенные и сертифицированные продукты могут содержать критические ошибки. А учитывая, что Firefox и Thunderbird используются миллионами пользователей по всему миру, в том числе и в государственном секторе, своевременное обновление становится не просто рекомендацией, а прямой необходимостью. Будьте внимательны, следите за бюллетенями производителей и не откладывайте установку исправлений на потом.

Детали уязвимостей

Ссылки