16 июня 2026 года Mozilla Foundation опубликовала бюллетень безопасности, посвящённый выходу Firefox ESR 140.12. В новой версии устранены 29 уязвимостей, 11 из которых получили высокий уровень опасности. Среди закрытых проблем - ошибки, позволяющие повысить привилегии в системе, обойти изоляцию песочницы и выполнить произвольный код. Обновление затронуло также Thunderbird ESR и стабильную ветку Firefox 152.
Детали уязвимостей
Наиболее серьёзные уязвимости затрагивают ключевые компоненты браузера. CVE-2026-12289 зафиксирована в подсистеме WebRender, отвечающей за отрисовку графики. В случае эксплуатации злоумышленник мог бы повысить свои привилегии внутри процесса браузера. Ещё три критических дефекта связаны с механизмами изоляции. CVE-2026-12294 и CVE-2026-12295 позволяют обойти песочницу в компонентах DOM: Workers и DOM: Navigation соответственно. А CVE-2026-12296 даёт возможность покинуть изолированное окружение через подсистему безопасности Process Sandboxing. Все эти уязвимости, если их соединить, могли бы привести к полному захвату браузера и доступу к операционной системе.
Отдельного внимания заслуживает CVE-2026-12291 - ошибка типа use-after-free в модуле обработки HTTP-соединений. Такие дефекты традиционно используются для выполнения кода в контексте уязвимого процесса. В связке с обходом песочницы атака становилась бы крайне опасной. Кроме того, исправлены две уязвимости в работе JIT-компилятора (CVE-2026-12299) и некорректные граничные условия в Web Audio (CVE-2026-12292). Все перечисленные проблемы обнаружили независимые исследователи, включая Zijie Zhao, Yaqoub Aldurayhim и Quy Pham.
Часть уязвимостей отнесена к категории "умеренная опасность". Среди них - обход политики одного источника через файлы cookie (CVE-2026-12304), раскрытие информации и побег из песочницы в Process Sandboxing (CVE-2026-12311 и CVE-2026-12313), а также обход средств защиты в DOM: Security (CVE-2026-12302 и CVE-2026-12315). В бюллетене указано, что многие из этих ошибок были обнаружены в результате фаззинг-тестирования командой Mozilla и внешними участниками.
Две позиции бюллетеня описывают сразу группы проблем с повреждением памяти. CVE-2026-12328 объединяет несколько ошибок, присутствовавших в Firefox ESR 115.36 и 140.11, а также в Thunderbird и Firefox 151. Разработчики отмечают, что некоторые из этих багов демонстрировали признаки повреждения памяти, и с определёнными усилиями их можно было бы использовать для выполнения произвольного кода. Аналогичная ситуация с CVE-2026-12327, охватывающей набор умеренно опасных дефектов памяти. Исследователи из числа сотрудников Mozilla и внешние специалисты, такие как Кристиан Холлер и Рэнделл Джесап, сообщили о них.
Пользователям корпоративной версии Firefox ESR следует обновиться до версии 140.12 в кратчайшие сроки. Компания не предлагает временных обходных мер - только установку патча. Аналогичное обновление вышло для Thunderbird ESR. Стабильная ветка Firefox 152 также содержит все исправления. Учитывая, что ESR-сборки предназначены для среды, где стабильность особенно важна, затягивание с установкой патча неоправданно. Регулярные бюллетени Mozilla демонстрируют: процесс выявления и закрытия уязвимостей в браузере продолжается, и своевременное обновление остаётся главным способом защиты от потенциальных атак.
Ссылки
