В Банке данных угроз безопасности информации (BDU) были опубликованы две критические уязвимости в браузере Mozilla Firefox. Эти дефекты, получившие идентификаторы BDU:2026-03320 и BDU:2026-03322, затрагивают ключевые компоненты браузера и позволяют удаленному злоумышленнику выполнить произвольный код на компьютере пользователя. Обе проблемы были устранены корпорацией Mozilla в одном патче, выпущенном 10 марта 2026 года.
Детали уязвимости
Первая уязвимость, BDU:2026-03320, связана с компонентом Audio/Video Playback, который отвечает за воспроизведение мультимедиа. Технической основой дефекта является переполнение буфера в динамической памяти (CWE-122). Вторая проблема, BDU:2026-03322, обнаружена в механизме анализа и вычислений CSS. Она объединяет два типа ошибок: выход операции за границы буфера (CWE-119) и использование памяти после её освобождения (CWE-416). Обе уязвимости классифицируются как уязвимости кода.
Согласно общепринятой системе оценки CVSS, опасность этих дефектов оценивается как максимальная. В версии CVSS 2.0 обе уязвимости получили базовый балл 10.0, что соответствует критическому уровню. В более современной версии CVSS 3.1 их оценка составляет 8.8, что классифицируется как высокий уровень опасности. Важно отметить, что для эксплуатации уязвимости не требуется аутентификация пользователя, а атака может быть проведена через сеть с минимальными требованиями к взаимодействию с пользователем.
Эксплуатация любой из этих уязвимостей потенциально позволяет злоумышленнику получить полный контроль над системой. Удаленный код может быть использован для кражи конфиденциальных данных, установки вредоносного программного обеспечения, например программ-вымогателей (ransomware), или для создания точки постоянного присутствия (persistence) в системе. Механизм атаки в обоих случаях основан на манипулировании структурами данных, которые обрабатывает браузер.
Уязвимости затрагивают все версии Mozilla Firefox до 148.0.2. Производитель оперативно отреагировал на угрозу, выпустив обновление безопасности. Пользователям настоятельно рекомендуется немедленно обновить браузер до актуальной версии 148.0.2 или более поздней. Обновление устраняет обе критические проблемы. Ссылка на официальное уведомление безопасности (Mozilla Foundation Security Advisory) mfsa2026-19 доступна в карточках BDU.
Примечательно, что уязвимости уже получили международные идентификаторы в системе CVE: CVE-2026-3845 (для BDU:2026-03320) и CVE-2026-3847 (для BDU:2026-03322). Статус обеих уязвимостей подтвержден производителем, и на текущий момент они считаются устраненными. Информация о наличии активных эксплойтов в открытом доступе, которые используют эти уязвимости, на момент публикации новости уточняется.
Данный инцидент подчеркивает важность своевременного обновления программного обеспечения, особенно таких критических компонентов, как веб-браузеры. Постоянно являясь основной мишенью для кибератак, браузеры требуют особого внимания к вопросам безопасности. Регулярное применение патчей остается самым эффективным способом защиты от подобных угроз.
Ссылки
- https://bdu.fstec.ru/vul/2026-03320
- https://bdu.fstec.ru/vul/2026-03322
- https://www.cve.org/CVERecord?id=CVE-2026-3845
- https://www.cve.org/CVERecord?id=CVE-2026-3847
- https://www.mozilla.org/security/advisories/mfsa2026-19/
