Критические уязвимости в продуктах Mozilla угрожают удалённым выполнением кода

Компания Mozilla выпустила экстренные обновления безопасности для своего браузера Firefox и почтового клиента Thunderbird. Причиной стала пара критических уязвимостей, позволяющих злоумышленнику выполнить произвольный код на устройстве жертвы. Данные об этих уязвимостях, получивших идентификаторы BDU:2026-04919 и BDU:2026-04920, были опубликованы в Банке данных угроз (BDU). Обе ошибки уже подтверждены производителем и классифицированы как критические.

Детали уязвимостей

Уязвимости затрагивают практически все актуальные версии популярного программного обеспечения. В зоне риска находятся браузер Firefox до версии 149.0.2, его корпоративная ветка Firefox ESR до версий 140.9.1 и 115.34.0, а также почтовые клиенты Thunderbird (до 149.0.2) и Thunderbird ESR (до 140.9.1). Эксперты подчёркивают, что атака может быть осуществлена удалённо, без каких-либо предварительных действий со стороны пользователя. Это резко повышает опасность данных изъянов.

Техническая суть обеих уязвимостей заключается в ошибках работы с памятью. Первая (BDU:2026-04919, CVE-2026-5734) классифицируется как "запись за границами буфера" (CWE-787). Вторая (BDU:2026-04920, CVE-2026-5731) относится к типу "выход операции за границы буфера в памяти" (CWE-119). Несмотря на разные коды в базе CWE, оба дефекта позволяют атакующему манипулировать структурами данных в памяти приложения. В результате злоумышленник может перезаписать критически важные участки памяти и перенаправить выполнение программы на свой вредоносный код.

Высокий уровень угрозы подтверждается оценками по системе CVSS. Для обеих уязвимостей базовая оценка по CVSS 3.1 составляет 9.8 баллов из 10 возможных. Это максимально близкий к абсолютному показатель. Вектор атаки оценивается как сетевой (AV:N), не требующий специальных привилегий (PR:N) или взаимодействия с пользователем (UI:N). Успешная эксплуатация приведёт к полному компрометированию системы, обеспечив злоумышленнику доступ к конфиденциальности (конфиденциальность, C:H), целостности (I:H) и доступности (A:H) данных.

На текущий момент информация о наличии публичных эксплойтов, использующих эти уязвимости, уточняется. Однако подобные ошибки памяти традиционно являются излюбленной мишенью для создателей вредоносного ПО, особенно для групп, занимающихся целевыми атаками (APT). Учитывая критический характер уязвимостей и широкую распространённость продуктов Mozilla, эксперты по кибербезопасности ожидают появления работающих эксплойтов в краткосрочной перспективе. Следовательно, окно для безопасного обновления может быть крайне ограниченным.

Единственным надёжным способом защиты является немедленная установка патчей. Компания Mozilla уже устранила проблемы в обновлённых версиях программ. Для основной ветки Firefox и Thunderbird необходимо обновиться до версии 149.0.2 или новее. Пользователям корпоративных сборок Firefox ESR следует установить версию 140.9.1 или 115.34.0, в зависимости от используемой ветки. Для Thunderbird ESR актуальной является версия 140.9.1. Обновление следует выполнять только через встроенные механизмы программ или официальный сайт Mozilla.

Данный инцидент в очередной раз демонстрирует важность своевременного обновления программного обеспечения. Продукты для работы в интернете и с электронной почтой находятся на передовой киберугроз, постоянно подвергаясь атакам. Регулярное применение патчей закрывает известные уязвимости, значительно усложняя жизнь злоумышленникам. Системным администраторам в организациях рекомендуется в приоритетном порядке развернуть обновления на всех рабочих станциях. В противном случае риску подвергаются не только отдельные компьютеры, но и вся корпоративная сеть.

Детали уязвимостей

Ссылки