19 мая 2026 года Mozilla Foundation опубликовала бюллетень безопасности, анонсирующий выход Firefox 151. Это обновление стало рекордным по числу исправленных проблем - разработчики закрыли 31 уязвимость. Четыре из них получили высокий уровень опасности, ещё одиннадцать - средний, а остальные - низкий. Самое тревожное: несколько найденных дефектов позволяют злоумышленнику обойти изоляцию браузера и выполнить вредоносный код на устройстве жертвы. Обновление затронуло все версии Firefox для Windows, macOS, Linux, а также мобильную сборку Firefox Focus для Android.
Детали уязвимостей
Главное, на что стоит обратить внимание, - это уязвимость CVE-2026-8945, обнаруженная исследователем Daisuke Hatakeyama. Речь идёт об обходе песочницы (механизма изоляции процессов, который не даёт вредоносному коду выйти за пределы браузера) сразу в Firefox и Firefox Focus для Android. Эксплуатация этой уязвимости может позволить атакующему выполнить произвольные действия на уровне операционной системы, минуя все защитные барьеры. Комбинация с другими багами делает её особенно опасной.
Почти столь же критична CVE-2026-8946, связанная с некорректной проверкой границ при обработке аудио- и видеопотоков компонентом Web Codecs. Эта ошибка способна привести к повреждению памяти и удалённому выполнению кода. Ещё один высокоопасный дефект - CVE-2026-8947 (использование после освобождения, или use-after-free) в модуле привязок DOM (WebIDL), который отвечает за взаимодействие JavaScript-движка с объектной моделью документа. Если злоумышленнику удастся убедить пользователя открыть специально сформированную веб-страницу, браузер может обратиться к уже освобождённому участку памяти, что чревато запуском произвольного кода.
Нельзя не упомянуть CVE-2026-8948 - обход политики единого источника (same-origin policy, правила, запрещающего скриптам с одного сайта получать доступ к данным другого) в сетевом компоненте DOM. Эта уязвимость позволяет злоумышленнику читать содержимое чужих веб-ресурсов, фактически перехватывая данные сессии или личную информацию пользователя. Дополнительно Mozilla исправила три масштабные группы ошибок безопасности памяти - CVE-2026-8973, CVE-2026-8974 и CVE-2026-8975. Они затрагивают несколько поколений браузера: обычную версию Firefox (150), Firefox ESR 140.10 и даже ESR 115.35. В описании говорится, что некоторые из этих багов демонстрировали признаки повреждения памяти, и при должных усилиях их можно было использовать для удалённого выполнения кода.
Уязвимости со средним уровнем опасности также представляют собой серьёзную угрозу. Например, CVE-2026-8950 - ещё один обход политики единого источника, но уже в HTTP-составляющей браузера. Он позволяет злоумышленнику подменить содержимое ответа сервера и внедрить вредоносный код. CVE-2026-8952 затрагивает механизм обновления приложения: ошибка может привести к повышению привилегий, то есть дать злоумышленнику возможность запускать операции с правами, превышающими обычные пользовательские. Ряд ошибок, таких как CVE-2026-8951 (подделка адресной строки в Firefox для Android) и CVE-2026-8953 (обход песочницы из-за use-after-free в API доступа к вспомогательным технологиям для людей с ограниченными возможностями), также получили среднюю оценку.
Отдельного упоминания заслуживает CVE-2026-8958 - раскрытие информации и обход песочницы в модуле изоляции процессов. Его обнаружил исследователь Yaqoub Aldurayhim, который ранее уже находил опасные дефекты в браузере. А CVE-2026-8959, найденный Ameen Basha M K, связан со схожей проблемой в компоненте Widget для Windows и может привести к выходу за пределы защищённой среды.
Даже уязвимости с низким уровнем опасности способны создать реальные проблемы при комбинировании. К примеру, CVE-2026-8960 (подделка интерфейса расширений) и CVE-2026-8961 (подделка автозаполнения форм) могут использоваться в фишинговых атаках. А CVE-2026-8962 и CVE-2026-8969 - это обход механизмов защиты в DOM: Security, что может ослабить действие других политик безопасности.
Важно подчеркнуть, что многие уязвимости были обнаружены не только внешними исследователями, но и внутренней командой Mozilla Fuzzing Team, которая систематически тестирует браузер на предмет случайных повреждений памяти. Метод фаззинга (автоматической генерации некорректных входных данных) позволил выявить большое количество ошибок на ранних стадиях. Тем не менее, четыре из пяти проблем высокого уровня связаны с памятью - это подтверждает, что C++ и Rust (на которых частично написан движок) всё ещё оставляют пространство для атак класса memory corruption.
Что это значит для пользователей? Если вы используете Firefox любой версии, включая стабильную, ESR (расширенную поддержку) или мобильную сборку для Android, настоятельно рекомендуется немедленно установить обновление 151. В противном случае ваше устройство остаётся под угрозой удалённого выполнения кода через простой переход на вредоносный сайт. Атака может быть незаметной - злоумышленнику не нужны клики по подозрительным ссылкам, достаточно загрузки страницы с эксплойтом. Пользователи корпоративного сегмента, использующие Firefox ESR, должны обновить его до версии 140.11, а тех, кто всё ещё работает на ESR 115, - до 115.36, чтобы закрыть все накопившиеся проблемы.
Главный вывод из этого бюллетеня: браузер остаётся одной из самых критичных поверхностей атак. Даже статус "высокая" уязвимость не должен расслаблять - обновления безопасности необходимо устанавливать максимально быстро. И хотя команда Mozilla прикладывает большие усилия для автоматического обновления, многие пользователи из-за старых настроек или прокси-серверов могут остаться без защиты. Проверьте, что в ваших Firefox включено автоматическое получение обновлений, и не откладывайте установку версии 151 на завтра.
Ссылки
