19 мая 2026 года Mozilla Foundation выпустила обновление почтового клиента Thunderbird до версии 151. Этот релиз закрывает 29 уязвимостей, три из которых получили высокий уровень опасности. Остальные проблемы оценены как средние и низкие. Однако важно понимать: через прямое чтение писем в Thunderbird эти недостатки не эксплуатируются. Причина в том, что при работе с почтой в программе отключено выполнение скриптов. Опасность возникает в браузерных контекстах, например, при открытии встроенного HTML-содержимого или взаимодействии с веб-компонентами. Следовательно, пользователи, которые активно используют Thunderbird для просмотра RSS-лент или открытия ссылок во внутреннем браузере, находятся в зоне риска.
Детали уязвимостей
Самую серьёзную угрозу представляют ошибки безопасности памяти. Они описаны в трёх бюллетенях: CVE-2026-8973, CVE-2026-8974 и CVE-2026-8975. В Mozilla отмечают, что в этих CVE зафиксированы признаки повреждения памяти. При достаточных усилиях злоумышленник мог бы воспользоваться ими для выполнения произвольного кода. Подобные уязвимости традиционно считаются критическими, поскольку позволяют атакующему практически полностью взять под контроль систему жертвы. В частности, первый из этих недостатков присутствовал в версии 150, а два других затрагивали также предыдущие сборки (140.10 и 150). Таким образом, пользователи, которые давно не обновляли клиент, особенно уязвимы.
Помимо проблем с памятью, в список попали несколько уязвимостей, связанных с обходом политики происхождения (same-origin policy). Эта политика - базовый механизм безопасности веб-приложений. Она не позволяет скриптам с одного сайта получать доступ к данным другого. Если её обойти, злоумышленник может украсть личные данные, перехватить сессии или подделать запросы. В Thunderbird 151 исправлены два таких бага: CVE-2026-8948 в компоненте DOM: Networking и CVE-2026-8950 в Networking: HTTP. Первая уязвимость имеет высокий уровень воздействия, вторая - средний. Кроме того, ещё один обход политики происхождения (CVE-2026-8971) зафиксирован в компоненте Networking: JAR, но его опасность оценена как низкая.
Особого внимания заслуживает группа уязвимостей, которые позволяют повысить привилегии в системе (privilege escalation). Четыре таких бага помечены как средние: CVE-2026-8952 (компонент Application Update), CVE-2026-8955 (DOM: Workers), CVE-2026-8957 (Enterprise Policies) и CVE-2026-8970 (Security, низкий уровень). При этом CVE-2026-8952 связан с механизмом обновления приложения - если злоумышленник смог бы использовать его, он мог бы внедрить вредоносные обновления. А CVE-2026-8955 и CVE-2026-8957 затрагивают рабочие потоки и корпоративные политики соответственно. Повышение привилегий часто служит вторым этапом сложной атаки, когда после получения начального доступа атакующий пытается получить права администратора.
Несколько уязвимостей касаются изоляции песочницы (sandbox escape). Это означает, что даже если вредоносный код работает в ограниченной среде, он может вырваться за её пределы. В данном релизе исправлены три таких бага (CVE-2026-8953, CVE-2026-8958, CVE-2026-8959). Все они имеют средний уровень опасности. Например, CVE-2026-8953 обнаружен в компоненте Disability Access APIs, который отвечает за специальные возможности для людей с ограничениями. А CVE-2026-8959 связан с неверными граничными условиями в Widget: Win32. Для пользователей Windows эти уязвимости особенно актуальны, так как компонент Win32 взаимодействует с системными вызовами.
В категорию с низким уровнем опасности попало 13 проблем. Среди них есть уязвимости, позволяющие подменить содержимое веб-страниц (spoofing) в расширениях, автозаполнении форм, речевых компонентах и блокировщике всплывающих окон. Также несколько багов приводят к разглашению информации (information disclosure) - в компонентах безопасности, IP Protection, Graphics: WebGPU. Кроме того, обнаружена уязвимость типа "отказ в обслуживании" (denial-of-service) в Audio/Video: Web Codecs - она вызвана недопустимым указателем.
Важно отметить, что в Mozilla подчёркивают: все эти недостатки не могут быть использованы через электронную почту напрямую, так как Thunderbird по умолчанию отключает скрипты в письмах. Тем не менее, если пользователь разрешает запуск JavaScript (например, для отображения продвинутого HTML) или использует встроенный браузер для просмотра веб-страниц, риски возрастают. Поэтому компания рекомендует как можно скорее установить обновление до версии 151. Для большинства пользователей оно уже доступно через автоматическую проверку обновлений.
В целом этот релиз показывает, что даже зрелые продукты, такие как Thunderbird, требуют постоянного внимания к безопасности. Разработчики Mozilla активно сотрудничают с исследователями - в списке репортёров значатся десятки специалистов из разных стран. Благодаря их работе сообщество получает возможность своевременно закрывать уязвимости, которые в противном случае могли бы быть использованы для атак.
Если вы используете Thunderbird, убедитесь, что у вас установлена версия 151. Проверить это можно в меню "Справка" - "О Thunderbird". Обновление займёт всего несколько минут, но защитит от целого спектра потенциальных угроз.
Ссылки
