Банк данных угроз безопасности информации (BDU) зафиксировал две критических уязвимости, затронувших браузеры Mozilla Firefox, Firefox ESR, а также почтовый клиент Thunderbird. Обе проблемы BDU:2026-09769 и BDU:2026-09781 (CVE-2026-8094 и CVE-2026-7321) связаны с реализацией технологии WebRTC - набора стандартов для передачи потоковых аудио- и видеоданных непосредственно в браузере без установки дополнительных плагинов. В связи с тем, что WebRTC является встроенной функцией, уязвимости затронули не только сами приложения Mozilla, но и десятки дистрибутивов операционных систем, включая Red Hat Enterprise Linux, Debian GNU/Linux, Amazon Linux и российскую РЕД ОС.
Детали уязвимостей
Рассмотрим первую уязвимость, которой присвоен идентификатор BDU:2026-09769 (CVE-2026-8094). Она получила максимальную оценку опасности - 9,8 балла по шкале CVSS 3.1. Причина кроется в неверном управлении генерацией кода, что относится к классу ошибок CWE-94 (внедрение кода). Простыми словами, злоумышленник может удалённо отправить специально сформированный сетевой пакет, который из-за ошибки в компоненте WebRTC будет воспринят браузером как часть исполняемого кода. Это позволяет атакующему выполнить произвольные команды на компьютере жертвы.
Вторая уязвимость BDU:2026-09781 (CVE-2026-7321) также заслуживает пристального внимания. Её оценка составляет 9,6 балла. Здесь речь идёт о классическом переполнении буфера (CWE-120), а именно о копировании данных без проверки их объёма. Компонент WebRTC: Networking не контролирует размер входящих данных, что приводит к выходу за пределы выделенной области памяти. Эксплуатация этой проблемы также позволяет нарушителю удалённо повлиять на конфиденциальность, целостность и доступность информации. При этом для атаки злоумышленнику необходимо лишь заставить пользователя открыть вредоносную веб-страницу или переслать ему специально подготовленный контент. Обе уязвимости уже подтверждены производителем, и для Mozilla Firefox ESR версии до 140.10.2, а также для Thunderbird версии до 140.10.2 (в случае CVE-2026-8094) выпущены обновления. Для Firefox 150 и Thunderbird 150 (в случае второй проблемы) обновления также доступны.
Однако масштаб проблемы гораздо шире. Список уязвимого программного обеспечения включает не только сами продукты Mozilla. В перечень попали практически все актуальные версии операционных систем Red Hat Enterprise Linux (начиная с версии 6 и заканчивая версией 10, а также специализированные сборки для телекоммуникаций и SAP), семейство Debian GNU/Linux (версии 11, 12 и 13), а также Amazon Linux 2023. Особого внимания заслуживает наличие в этом списке российской операционной системы РЕД ОС версий 7.3 и 8.0, разработанной компанией "Ред Софт". Это означает, что атаки возможны не только на зарубежные системы, но и на инфраструктуру российских организаций, использующих сертифицированное ПО.
Каковы конкретные риски? Успешная эксплуатация уязвимостей может привести к полному захвату контроля над атакующей системой. Злоумышленник способен запустить программу-вымогатель (ransomware), похитить учётные данные или установить шпионское ПО. В корпоративной среде, где почтовый клиент Thunderbird или браузер Firefox часто являются стандартным инструментом, компрометация одного компьютера может стать отправной точкой для продвижения внутри сети. Например, при открытии вложения или переходе по ссылке из письма, загруженного через Thunderbird, вредоносный код получит такой же уровень привилегий, как и сама программа. С учётом того, что WebRTC активен по умолчанию во всех современных браузерах, атакующему даже не нужно убеждать жертву устанавливать что-то дополнительно.
Обе организации, Mozilla и разработчики затронутых дистрибутивов, оперативно отреагировали. Уязвимости устранены, и на официальных сайтах уже размещены подробные бюллетени. Для Red Hat Enterprise Linux и Debian GNU/Linux выпущены патчи, включённые в стандартные репозитории обновлений. Для пользователей РЕД ОС компания "Ред Софт" также подготовила исправления. Администраторам безопасности настоятельно рекомендуется в кратчайшие сроки провести аудит используемого ПО и установить обновления. В первую очередь это касается систем, где браузеры и почтовые клиенты работают с большим объёмом данных из интернета или используются для доступа к корпоративным порталам.
Эти инциденты в очередной раз напоминают, что даже устоявшиеся и повсеместно используемые технологии, такие как WebRTC, могут содержать скрытые дефекты, способные привести к серьёзным последствиям. Особую озабоченность вызывает тот факт, что ошибка оказалась кросс-платформенной и затронула как зарубежную экосистему Red Hat, так и российские разработки. Подобные случаи подчёркивают важность своевременного мониторинга уведомлений от производителей ПО и оперативного внедрения патчей. Специалистам по информационной безопасности стоит обратить внимание на то, что обе уязвимости могут эксплуатироваться удалённо без каких-либо особых условий, кроме использования уязвимой версии браузера или почтового клиента.
Ссылки
- https://bdu.fstec.ru/vul/2026-09769
- https://bdu.fstec.ru/vul/2026-09781
- https://www.cve.org/CVERecord?id=CVE-2026-8094
- https://www.cve.org/CVERecord?id=CVE-2026-7321
- https://github.com/advisories/GHSA-5ghx-9783-29rc
- https://www.mozilla.org/security/advisories/mfsa2026-41
- https://www.mozilla.org/security/advisories/mfsa2026-41/
- https://www.mozilla.org/security/advisories/mfsa2026-44
- https://www.mozilla.org/security/advisories/mfsa2026-44/
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-8094
- https://security-tracker.debian.org/tracker/CVE-2026-8094
- https://access.redhat.com/security/cve/cve-2026-8094
- https://explore.alas.aws.amazon.com/CVE-2026-8094.html
- https://github.com/advisories/GHSA-jjvw-q2ff-g9g3
- https://www.mozilla.org/security/advisories/mfsa2026-30
- https://www.mozilla.org/security/advisories/mfsa2026-33
- https://www.mozilla.org/security/advisories/mfsa2026-36
- https://www.mozilla.org/security/advisories/mfsa2026-39
- https://security-tracker.debian.org/tracker/CVE-2026-7321
- https://redos.red-soft.ru/search/?iblock_id=24&q=CVE-2026-7321
- https://access.redhat.com/security/cve/cve-2026-7321