В конце февраля 2026 года специалисты по информационной безопасности зафиксировали сразу две опасные ошибки в популярных продуктах Mozilla. Речь идет о браузерах Firefox, Firefox ESR и почтовом клиенте Thunderbird. Уязвимости получили идентификаторы CVE-2026-2771 и CVE-2026-2781, а также номера в российском Банке данных угроз безопасности информации (BDU): BDU:2026-07228 и BDU:2026-07229. Обе проблемы признаны критическими. Их эксплуатация позволяет злоумышленнику удаленно вызвать отказ в обслуживании или, что еще хуже, получить полный контроль над системой.
Детали уязвимостей
Первая уязвимость связана с чтением данных за границами выделенного буфера в памяти. Такая ошибка возникает, когда программа обращается к участку памяти, который ей не принадлежит. Вторая проблема - целочисленное переполнение. Это ситуация, при которой результат арифметической операции превышает максимально допустимое значение для данного типа данных, что может привести к неожиданному поведению программы. Оба дефекта относятся к классу уязвимостей кода и могут быть использованы удаленно без какой-либо аутентификации.
По шкале CVSS версии 3.1 обе уязвимости получили 9,8 балла из 10 возможных. Это максимально близкий к абсолютному уровень опасности. Базовый вектор показывает, что для атаки не требуется специальных привилегий или взаимодействия с пользователем. Достаточно лишь отправить жертве специально сформированный сетевой запрос или заставить её открыть вредоносную веб-страницу.
Под угрозой оказались пользователи десятков операционных систем. В списке уязвимых платформ значатся Red Hat Enterprise Linux (версии от 7 до 10), Debian GNU/Linux (11, 12, 13), а также российская операционная система РЕД ОС версии 8.0. В свою очередь, уязвимыми признаны Mozilla Firefox до версии 148, Firefox ESR до версий 115.35 и 140.8, а также Thunderbird до версий 140.8 и 148. Для CVE-2026-2781 дополнительно указан компонент NSS-LDAP (библиотека для работы с LDAP) версии ниже 3.81.0.
Важно понимать, что критическая оценка опасности дана не случайно. Эксплуатация этих уязвимостей может привести не только к отказу в обслуживании, то есть к временной недоступности приложения или всей системы. Потенциально злоумышленник способен получить доступ к конфиденциальным данным - паролям, переписке, финансовой информации. В худшем случае атакующий может выполнить произвольный код на устройстве жертвы и полностью его скомпрометировать.
Хотя на момент публикации данных точных сведений о наличии эксплойта нет, производитель уже подтвердил обе уязвимости и выпустил официальные исправления. Mozilla обновила свои продукты в рамках бюллетеней безопасности mfsa2026-13, mfsa2026-14, mfsa2026-15, mfsa2026-16, mfsa2026-17, а для второй проблемы также mfsa2026-31. Способ устранения - стандартное обновление программного обеспечения. Разработчики настоятельно рекомендуют всем пользователям установить последние версии браузеров и почтового клиента.
Это не первый случай, когда в продуктах Mozilla находят опасные ошибки, связанные с работой с памятью. Подобные уязвимости традиционно представляют серьезную угрозу, поскольку зачастую позволяют обойти механизмы защиты операционной системы. Эксперты отмечают, что своевременное обновление является единственным надежным способом защиты. Откладывать установку исправлений не стоит: злоумышленники могут начать использовать эти уязвимости в своих целях уже в ближайшее время, особенно после того, как технические детали станут общедоступными.
Бизнесу и государственным организациям, использующим перечисленные операционные системы и прикладное ПО, необходимо в кратчайшие сроки провести инвентаризацию уязвимых версий и развернуть обновления. Особое внимание стоит уделить системам, где Firefox или Thunderbird используются для доступа к корпоративным веб-интерфейсам или обработки служебной переписки. В случае невозможности немедленного обновления администраторам рекомендуется временно ограничить использование уязвимых продуктов или настроить дополнительные средства защиты, такие как системы обнаружения вторжений (IDS).
В целом ситуация напоминает о важности регулярного обновления программного обеспечения. Даже такие массовые и проверенные продукты, как браузеры от Mozilla, не застрахованы от критических ошибок. Пользователям стоит включить автоматическую установку обновлений или проверять их наличие хотя бы раз в неделю. Только такой подход позволяет свести к минимуму риск стать жертвой атак, использующих свежие уязвимости.
Ссылки
- https://bdu.fstec.ru/vul/2026-07228
- https://bdu.fstec.ru/vul/2026-07229
- https://www.cve.org/CVERecord?id=CVE-2026-2771
- https://www.cve.org/CVERecord?id=CVE-2026-2781
- https://bugzilla.mozilla.org/show_bug.cgi?id=2014593
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-2771
- https://www.mozilla.org/security/advisories/mfsa2026-13
- https://www.mozilla.org/security/advisories/mfsa2026-14
- https://www.mozilla.org/security/advisories/mfsa2026-15
- https://www.mozilla.org/security/advisories/mfsa2026-16
- https://www.mozilla.org/security/advisories/mfsa2026-17
- https://access.redhat.com/security/cve/cve-2026-2771
- https://security-tracker.debian.org/tracker/CVE-2026-2771
- https://bugzilla.mozilla.org/show_bug.cgi?id=2009552
- https://lists.debian.org/debian-lts-announce/2026/03/msg00012.html
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-2781
- https://www.mozilla.org/security/advisories/mfsa2026-31
- https://access.redhat.com/security/cve/cve-2026-2781
- https://security-tracker.debian.org/tracker/CVE-2026-2781
