19 мая 2026 года Mozilla Foundation выпустила внеплановое обновление для своего браузера Firefox ESR (расширенная версия с длительной поддержкой). Патч под номером 140.11 закрывает сразу 21 уязвимость, из которых восемь получили высокий рейтинг опасности. Это событие затронуло миллионы корпоративных пользователей и государственных организаций, которые применяют стабильную версию браузера для защиты от внезапных изменений.
Детали уязвимостей
Среди исправленных проблем - несколько ошибок в механизме обработки видео и аудио (Web Codecs - низкоуровневый интерфейс для работы с медиа), уязвимость в движке JavaScript, а также дефекты безопасности памяти. Наибольшую угрозу представляют ошибки, позволяющие злоумышленнику выйти за пределы так называемой песочницы - изолированной среды, где выполняются сторонние скрипты. Кроме того, ряд уязвимостей связан с некорректными граничными условиями, переполнением целых чисел и использованием памяти после её освобождения.
Восемь проблем с высоким уровнем влияния затрагивают различные компоненты браузера. Например, CVE-2026-8946 и CVE-2026-8388 связаны с некорректными граничными условиями в компонентах Web Codecs и JIT (динамическая компиляция кода во время выполнения). Это может привести к повреждению памяти и удаленному выполнению произвольного кода. Другая уязвимость, CVE-2026-8947, представляет собой ошибку типа use-after-free (использование памяти после её освобождения) в связках DOM (объектная модель документа). Она позволяет атакующему выполнить код в контексте браузера.
Особую тревогу вызывают уязвимости, связанные с обходом песочницы. CVE-2026-8401 позволяет атакующему покинуть изолированную среду резервного копирования профиля, а CVE-2026-8953 - через API (интерфейс прикладного программирования) доступности для людей с ограниченными возможностями. Выход из песочницы означает, что злоумышленник может получить доступ к операционной системе и другим приложениям. Вдобавок к этому обнаружена проблема обхода правил same‑origin policy в сетевом компоненте HTTP (CVE-2026-8950). Она позволяет перехватывать данные между разными сайтами, если атакующий может подменить сетевой трафик.
Оставшиеся уязвимости со средним и низким уровнем опасности затрагивают такие области, как автозаполнение форм, политики предприятия, обработка JAR-архивов и другие. Тем не менее они также могут быть использованы для повышения привилегий или утечки информации. Две заключительные уязвимости (CVE-2026-8974 и CVE-2026-8975) описывают множественные ошибки безопасности памяти в версиях ESR 140.10 и Firefox 150. Исследователи Mozilla и внешние эксперты обнаружили следы повреждения памяти, что позволяет предположить возможность выполнения произвольного кода при достаточном усилии.
Для пользователей Firefox ESR обновление является критически важным. Эта версия часто применяется в корпоративных сетях с повышенными требованиями к безопасности, поэтому любая уязвимость может привести к серьезным последствиям: краже конфиденциальных данных, установке вредоносного ПО или захвату управления над системой. Специалистам по информационной безопасности необходимо немедленно проверить наличие обновления на всех рабочих станциях и серверах, где установлен Firefox ESR. Обычным пользователям также рекомендуется обновить браузер через меню "Справка" - "О Firefox" и дождаться загрузки новой версии.
В целом этот выпуск исправлений демонстрирует постоянную работу Mozilla по устранению угроз, однако он также напоминает о важности своевременного обновления программного обеспечения. Атакующие активно ищут лазейки в популярных браузерах, и чем дольше организация откладывает патчинг, тем выше риск инцидента. В данном случае патч закрывает как уязвимости, влияющие на собственное исполнение кода, так и проблемы, обходящие защитные механизмы браузера. Анализ показывает, что четыре из восьми критических дефектов напрямую связаны с повреждением памяти, а три - с выходом из песочницы. Это говорит о многообразии векторов атак, с которыми приходится сталкиваться разработчикам.
Следует отметить, что все уязвимости были обнаружены внешними исследователями безопасности, за исключением ошибок памяти, найденных собственной командой Mozilla Fuzzing Team. Такой подход позволяет задействовать широкий круг экспертов для поиска слабых мест. Впрочем, факт наличия такого количества проблем в одной версии браузера указывает на сложность современного веб-движка. Тем не менее частота выхода исправлений для ESR-ветки остаётся низкой, чтобы не нарушать стабильность работы, поэтому каждый патч особенно важен.
Подводя итог, можно сказать, что обновление Firefox ESR до версии 140.11 является обязательным для всех, кто ценит безопасность своих данных. Установка патча не займёт много времени, но предотвратит возможные атаки, которые уже могли быть разработаны на основе изученных уязвимостей. Пользователям настоятельно рекомендуется не откладывать обновление на потом, а сделать это сразу после публикации данной информации.
Ссылки
