19 мая 2026 года Mozilla Foundation выпустила внеочередное обновление для своего браузера Firefox ESR (Extended Support Release - версия с расширенной поддержкой для корпоративных пользователей и госорганизаций). Патч закрывает сразу семь уязвимостей, шесть из которых имеют высокий уровень опасности. Особого внимания заслуживают две проблемы, которые давали злоумышленникам возможность обойти защитную песочницу и получить доступ к операционной системе.
Почему это важно для бизнеса?
Firefox ESR - это не обычный браузер. Его используют компании, медицинские учреждения и государственные структуры, где стабильность и совместимость с устаревшими внутренними системами ценятся выше, чем скорость внедрения новинок. Поэтому уязвимости в такой версии браузера затрагивают инфраструктуру, которая часто не получает моментальных обновлений.
Факты: что именно исправлено?
В бюллетене безопасности (Mozilla Foundation Security Advisory 2026-47) перечислены пять уязвимостей с высоким уровнем воздействия и одна - с умеренным, но также опасным эффектом.
- CVE-2026-8946 - связана с неверными граничными условиями в компоненте Audio/Video: Web Codecs. Эта проблема могла привести к повреждению памяти при обработке медиаданных. Она была обнаружена исследователем под псевдонимом zx.
- CVE-2026-8388 - затрагивает JIT-компилятор (Just-In-Time - технология, которая ускоряет выполнение кода JavaScript) в движке JavaScript. Нашел её специалист ggwhyp. Аналогичная ошибка границ могла позволить злоумышленнику выполнить произвольный код.
- CVE-2026-8947 - это проблема использования после освобождения в компоненте DOM: Bindings (WebIDL). Такой дефект часто приводит к краху браузера или, в худшем случае, к запуску вредоносного кода. Исследователь Satoki Tsuji сообщил о ней.
- CVE-2026-8391 - ещё одна уязвимость в JavaScript Engine, также обнаруженная ggwhyp. Её точную природу Mozilla не раскрывает, но её высокий рейтинг опасности говорит сам за себя.
- CVE-2026-8401 - побег из песочницы в компоненте Profile Backup (резервное копирование профиля пользователя). Песочница - это изолированная среда, которая не даёт браузеру напрямую взаимодействовать с операционной системой. Ошибка, найденная всё тем же ggwhyp, позволяла вырваться из этой среды.
- CVE-2026-8953 - умеренная, но тоже опасная: побег из песочницы через использование после освобождения в API доступности для людей с ограниченными возможностями (Disability Access APIs). О ней сообщил stevej.
- CVE-2026-8975 - целый набор ошибок безопасности памяти, исправленных не только в ESR 115.36, но и в более новых версиях (ESR 140.11 и Firefox 151). Исследователи Andrew McCreight, Valentin Gosu, Nika Layzell, Tom Schuster и команда Mozilla Fuzzing Team нашли следы повреждения памяти. Компания признаёт, что при должной степени усилий эти баги могли быть использованы для выполнения произвольного кода.
Что означают эти уязвимости на практике?
Побег из песочницы - один из самых страшных сценариев для любого браузера. Обычно песочница ограничивает возможности вредоносного скрипта: даже если хакер смог выполнить код внутри вкладки, он не должен получить доступ к файловой системе, реестру или другим программам. Однако при обнаружении такой ошибки, как CVE-2026-8401, атакующий может выйти за пределы изоляции и действовать уже на уровне операционной системы.
В связке с уязвимостями, вызывающими повреждение памяти (например, CVE-2026-8975), комбинация становится критичной. Сначала злоумышленник использует проблему в JavaScript-движке, чтобы загрузить полезную нагрузку, а затем применяет побег из песочницы для закрепления в системе.
Важно отметить, что все шесть уязвимостей высокого уровня имеют статус "высокий" - это означает, что Mozilla допускает возможность эксплуатации в реальных атаках. Уязвимость CVE-2026-8953 хотя и получила умеренный рейтинг, всё равно опасна: использование после освобождения в API доступности может быть проще объединено с другими багами для полноценного взлома.
Последствия для пользователей и организаций
Если не установить обновление, атакующие могут получить полный контроль над системой жертвы. Для корпоративных пользователей это означает риск утечки конфиденциальных данных, остановки критических бизнес-процессов и финансового ущерба. Учитывая, что Firefox ESR используется в секторах с повышенными требованиями к безопасности (здравоохранение, финансы, госорганы), промедление с патчем может дорого обойтись.
Особенно тревожит тот факт, что одна из уязвимостей (CVE-2026-8401) позволяет обойти песочницу. Это значит, что даже если организация полагалась на изоляцию браузера как на дополнительный уровень защиты, он оказывается бесполезным.
Кроме того, уязвимости были найдены и исправлены уже в мае 2026 года - это значит, что они могли существовать в течение нескольких предыдущих версий. В бюллетене указано, что баги из CVE-2026-8975 присутствовали в Firefox ESR 115.35, ESR 140.10 и Firefox 150. Таким образом, версии, которые использовались в течение нескольких месяцев, потенциально были уязвимы.
Что делать специалистам по информационной безопасности?
Прежде всего - как можно скорее обновить Firefox ESR до версии 115.36. Если в организации используется более новая ветка ESR (например, 140.x), необходимо также проверить выпуск версии 140.11, где исправлены те же баги.
Кроме того, стоит проанализировать журналы событий на предмет необычной активности, связанной с браузером: неожиданные крахи, запуск подозрительных процессов из контекста песочницы, подозрительные файлы, записанные в пользовательские профили.
С точки зрения профилактики, рекомендуется усилить контроль за использованием прав доступа: даже если вредоносному коду удастся вырваться из песочницы, минимальные привилегии пользователя помогут ограничить ущерб.
В долгосрочной перспективе - обратить внимание на то, что Mozilla начинает активнее тестировать безопасность через фаззинг (Fuzzing Team), но это не отменяет необходимости регулярных обновлений.
Итог
Mozilla Foundation выпустила не просто очередной патч, а устранила целый ряд серьёзных брешей, которые могли быть использованы для полного захвата системы. Учитывая, что Firefox ESR - продукт для тех, кто предпочитает стабильность новизне, любой администратор безопасности должен отнестись к этому обновлению с максимальной серьёзностью. Промедление с установкой патча может привести к тому, что корпоративная сеть станет лёгкой добычей для злоумышленников, вооружённых этими уязвимостями.
Ссылки
