19 мая 2026 года организация Mozilla распространила экстренное обновление для своего почтового клиента Thunderbird. Новая версия 140.11 закрывает сразу 21 уязвимость, из которых шесть имеют высокую степень опасности. Наибольший интерес представляют ошибки безопасности, связанные с повреждением памяти. Они могут позволить злоумышленнику выполнить произвольный код на компьютере пользователя.
Согласно бюллетеню Mozilla Foundation Security Advisory 2026-51, все уязвимости были обнаружены внешними исследователями и внутренними специалистами Mozilla. Среди них есть как классические проблемы (использование после освобождения, целочисленное переполнение, выход за границы буфера), так и более сложные (побег из изолированной среды, подмена контента и отказ в обслуживании). Mozilla подчёркивает, что при обычной работе с почтой в Thunderbird скрипты отключены, поэтому эксплуатация большинства уязвимостей через электронные письма затруднена. Однако в контексте браузера или при открытии HTML-писем с активным содержимым риск возрастает.
Ключевые уязвимости высокой степени опасности
Пять уязвимостей отмечены как высокие (High). Особое внимание привлекает CVE-2026-8946 - некорректные граничные условия в компоненте Audio/Video: Web Codecs. Эта ошибка может привести к повреждению данных видео и аудио, что потенциально открывает путь для выполнения произвольного кода. Исследователь под псевдонимом zx сообщил о баге.
Не менее опасна CVE-2026-8388, обнаруженная специалистом ggwhyp в механизме JavaScript Engine: JIT (компиляция на лету). Неправильная проверка границ в JIT-компиляторе может стать причиной неопределённого поведения программы и последующего внедрения вредоносного кода.
Программист Сатоки Цудзи (Satoki Tsuji) нашёл уязвимость use-after-free (использование после освобождения) в привязывании объектной модели документа (DOM: Bindings (WebIDL)). Она также классифицирована как высокоопасная, поскольку позволяет злоумышленнику обращаться к уже освобождённой памяти.
Специалист ggwhyp выявил ещё одну серьёзную проблему в том же движке JavaScript - CVE-2026-8391. Описание указывает на "другую проблему", но по степени влияния она приравнена к высоким. Наконец, CVE-2026-8401, также от ggwhyp, связана с побегом из песочницы (sandbox escape) в компоненте Profile Backup. Это означает, что атакующий может обойти изолированную среду и получить доступ к системным ресурсам.
Уязвимости средней и низкой степени
Двенадцать уязвимостей, включая CVE-2026-8949 (целочисленное переполнение в подсистеме Widget: Win32) и CVE-2026-8950 (обход политики одного источника в HTTP-сетевых запросах), имеют средний уровень угрозы. В основном это классические ошибки памяти, позволяющие выполнить код или повысить привилегии. Три уязвимости отмечены как низкие - например, подмена данных в автозаполнении форм (CVE-2026-8961) и обход защитных механизмов в DOM (CVE-2026-8962).
Отдельно стоят две масштабные уязвимости, связанные с безопасностью памяти - CVE-2026-8974 и CVE-2026-8975. Они были обнаружены командой Mozilla и внешними исследователями при помощи фаззинга (автоматизированное тестирование некорректными данными). Обе уязвимости присутствовали в версиях Thunderbird 140.10 и 150. В описании говорится, что некоторые ошибки демонстрировали признаки повреждения памяти, и с достаточным усилием их можно было использовать для выполнения произвольного кода. CVE-2026-8975 дополнительно присвоен высокий уровень опасности.
Кому грозит опасность и что делать
Обновление актуально для всех пользователей Thunderbird, работающих на версиях 140.10 и старше. Mozilla рекомендует как можно скорее обновить программу до версии 140.11. Встроенный механизм обновления обычно предлагает установку автоматически, но можно также скачать полный установщик с официального сайта.
Обычный сценарий использования Thunderbird - чтение писем в безопасном режиме, где скрипты отключены. Однако многие пользователи открывают HTML-письма или используют интегрированный просмотрщик веб-контента. В таких ситуациях уязвимости могут быть задействованы. Особенно это касается компонентов, отвечающих за видео, аудио и работу с сетевыми запросами. Кроме того, некоторые ошибки в механизмах безопасности процесса (sandbox) угрожают не только почтовому клиенту, но и другим приложениям, запущенным на системе, если атакующий сможет обойти изоляцию.
Эксперты отмечают, что подобные массовые исправления характерны для мессенджеров и почтовых клиентов, которые включают в себя всё больше веб-технологий. Thunderbird использует тот же движок Gecko, что и Firefox, поэтому часть CVE пересекается с ранее закрытыми уязвимостями браузера. Тем не менее, появление сразу двух проблем типа "безопасность памяти" высокого уровня - сигнал, что разработчикам следует усиливать внутреннее тестирование и внедрять дополнительные средства защиты на уровне операционной системы, например, изоляцию процессов и рандомизацию адресного пространства.
Практические рекомендации
Хотя статья не является инструкцией по защите, можно выделить несколько общих советов для администраторов и рядовых пользователей. Первый и самый очевидный - установить обновление Thunderbird 140.11. Второй - по возможности ограничить запуск встроенного браузера или отключить поддержку продвинутого HTML-форматирования в письмах. Третий - использовать антивирусные решения с веб-фильтром, которые блокируют подозрительные сетевые запросы. Для организаций, где Thunderbird применяется в корпоративной среде, стоит дополнительно включить политики безопасности, запрещающие открытие вложений и ссылок из непроверенных источников.
Важно помнить, что ни одно программное обеспечение не застраховано от уязвимостей. Регулярное обновление - самый надёжный способ защитить себя от атак, использующих публично раскрытые недостатки. Mozilla также поощряет сообщество исследователей безопасности к поиску новых проблем, предлагая вознаграждения в рамках программы bug bounty.
Подводя итог, можно сказать: майский патч Thunderbird 140.11 стал одним из крупнейших за последнее время. Закрытие 21 уязвимости, включая несколько с высокой степенью опасности, свидетельствует о серьёзной работе инженеров Mozilla над повышением уровня защиты почтового клиента. Пользователям не стоит откладывать установку обновления, ведь среди исправленных проблем есть те, что позволяют злоумышленнику получить полный контроль над системой.
Ссылки
