28 апреля 2026 года компания Mozilla выпустила внеочередные обновления для своего браузера Firefox. Причиной стала серия опасных уязвимостей, которые затрагивают как актуальную версию Firefox 150.0, так и ветки с расширенной поддержкой (Firefox ESR). Злоумышленник мог использовать эти "дыры" для удалённого выполнения произвольного кода, обхода политик безопасности и раскрытия конфиденциальной информации на целевой системе. Проблемы классифицированы разработчиками как имеющие высокий и критический уровень опасности.
Детали уязвимостей
Всего в бюллетене описано пять уязвимостей, которым присвоены идентификаторы CVE (международные индексы для отслеживания угроз). Наиболее серьёзной стала CVE-2026-7322: это набор ошибок безопасности памяти (memory safety bugs) в версиях Firefox ESR 115.35.0, ESR 140.10.0 и Firefox 150.0.0. При определённых условиях атакующий мог добиться повреждения участков оперативной памяти, что в конечном счёте позволяло выполнить произвольный код на машине жертвы. Аналогичные неполадки, но с меньшим охватом, обнаружили также в других сборках - они получили индексы CVE-2026-7323 и CVE-2026-7324.
Ещё одна уязвимость, CVE-2026-7320, связана с некорректной обработкой граничных условий в компоненте аудио/видео. Она грозила раскрытием информации, то есть потенциальной утечкой данных, которые не должны быть доступны сайту или приложению. По информации Mozilla, дефект обнаружил исследователь Сюэхао Го. Наконец, уязвимость CVE-2026-7321 затрагивает компонент WebRTC (протокол передачи аудио и видео в реальном времени). Она позволяла осуществить выход из изолированной среды (песочницы), обойдя защитные механизмы браузера. Этот баг классифицирован как умеренный по степени влияния, но в сочетании с другими проблемами он мог усилить атаку.
Уязвимыми оказались все сборки Firefox, выпущенные до обновлений: Firefox 150.0 (вышедший ранее), Firefox ESR 115.35.0 и Firefox ESR 140.10.0. Поскольку Firefox ESR (Extended Support Release) предназначен для корпоративного сегмента и организаций, которые не могут часто обновлять ПО, именно для них угроза особенно высока. В этих ветках также обнаружены те же критические ошибки памяти.
Пользователям и администраторам настоятельно рекомендуется как можно скорее установить исправленные версии: Firefox 150.0.1, Firefox ESR 115.35.1 и Firefox ESR 140.10.1. Обновление распространяется автоматически через встроенный механизм обновления браузера, но можно загрузить установочные пакеты и с официального сайта разработчика.
Стоит отметить, что все найденные неполадки были обнаружены как внешними исследователями, так и собственной командой Mozilla Fuzzing Team, занимающейся автоматизированным тестированием безопасности. Такая практика - фаззинг (метод поиска багов путём подачи некорректных данных) - позволяет выявить скрытые проблемы до того, как ими успеют воспользоваться киберпреступники. В частности, CVE-2026-7322 нашли несколько экспертов: Чан, Холлер, Финк и команда фаззинга.
Последствия эксплуатации этих уязвимостей могут быть самыми серьёзными. Удалённое выполнение кода (Remote Code Execution) даёт злоумышленнику полный контроль над компьютером. Он может установить программы-вымогатели, похитить пароли, записать нажатия клавиш или превратить заражённую машину в часть ботнета. Обход политик безопасности позволяет атаковать другие приложения и компоненты операционной системы. А утечка данных ставит под удар личную информацию пользователей: логины, номера карт, переписку.
Хотя на данный момент нет сообщений о реальных атаках, использующих эти "дыры", риск остаётся высоким. Злоумышленники часто инвертируют исправления (reverse engineering) - анализируют патчи, чтобы создать эксплойт для тех, кто ещё не обновился. Поэтому откладывать установку обновлений не следует.
В заключение напомним: безопасность браузера - ключевая часть защиты любого устройства. Mozilla традиционно выпускает исправления по мере обнаружения проблем, и данный случай - ещё одно напоминание о том, что даже надёжное ПО не застраховано от ошибок. Регулярное обновление, использование антивирусных решений и осторожность при переходе по подозрительным ссылкам остаются главными правилами информационной гигиены.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-37/
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-36/
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-35/
