Mozilla выпустила стабильную версию Firefox 152. В этом обновлении устранены 33 уязвимости, 11 из которых имеют высокий уровень опасности. Среди исправленных проблем - уязвимости повышения привилегий, выхода за пределы изолированной среды (sandbox escape), ошибки безопасности памяти и целый ряд проблем в компонентах обработки графики, сети, звука и DOM (модели объектов документа). Обновление также затронуло ветки Firefox ESR 115.37 и 140.12, а также Thunderbird 152.
Детали уязвимостей
Наиболее критичная уязвимость, CVE-2026-12289, обнаружена исследователем choeseyeong в компоненте WebRender, отвечающем за рендеринг графики. Эта ошибка в контексте обработки графических команд позволяла злоумышленнику повысить свои привилегии и выполнить произвольный код на устройстве жертвы. В случае успешной эксплуатации атака могла происходить без дополнительного взаимодействия пользователя - достаточно было открыть вредоносную веб-страницу.
Ещё две уязвимости CVE-2026-12291 и CVE-2026-12293 связаны с ошибкой use-after-free (использование памяти после её освобождения). Первая обнаружена Zijie Zhao в сетевом компоненте HTTP, вторая - исследователем superhei в подсистеме WebGPU, обрабатывающей низкоуровневые графические вычисления. Use-after-free - один из распространённых классов уязвимостей, которые позволяют злоумышленнику читать или записывать произвольные данные в освобождённой области памяти. В обоих случаях возможным сценарием эксплуатации было выполнение произвольного кода в контексте процесса браузера.
Отдельную группу составляют уязвимости, позволяющие обойти песочницу - механизм изоляции процессов. CVE-2026-12294 (в компоненте Workers, обрабатывающем фоновые скрипты), CVE-2026-12295 (в навигационной подсистеме), CVE-2026-12296 (в самом механизме изоляции процессов) и CVE-2026-12297 (в сетевом стеке) были идентифицированы исследователями Quy Pham, Yaqoub Aldurayhim и zx. Вместе они открывают потенциальную цепочку атак: сначала злоумышленник может получить ограниченный код в песочнице, а затем использовать одну из этих ошибок для выхода за её пределы и получения полного контроля над системой.
CVE-2026-12299, обнаруженная Hyeonjun Ahn, затрагивает JIT-компилятор (механизм динамической компиляции JavaScript на лету) в подсистеме DOM: Core & HTML. Неправильная компиляция (miscompilation) могла приводить к нарушению логики работы скриптов и, при должных усилиях, к выполнению вредоносного кода.
Помимо этих точечных уязвимостей, Mozilla подтвердила наличие большого числа ошибок безопасности памяти, объединённых в три отдельные записи: CVE-2026-12326 (высокий уровень), CVE-2026-12327 (средний) и CVE-2026-12328 (высокий). В описании к ним указано, что в Firefox 151 и Thunderbird 151, а также в соответствующих версиях ESR были найдены следы повреждения памяти. Хотя для эксплуатации некоторых из них могло потребоваться дополнительное исследование, Mozilla признаёт, что при достаточных усилиях они могли быть использованы для выполнения произвольного кода. В составлении этих отчётов приняла участие значительная группа специалистов, включая сотрудников Mozilla и внешних участников программы фаззинга.
Из уязвимостей среднего и низкого уровня стоит отметить проблемы в менеджере паролей (CVE-2026-12320), обход правил политики одного источника (same-origin policy) в обработчике куки (CVE-2026-12304), а также несколько случаев раскрытия информации и обхода защитных механизмов в DOM: Security.
Для обычных пользователей Firefox главная рекомендация - установить версию 152. Для корпоративных клиентов, использующих Firefox ESR, также выпущены обновления ESR 115.37 и 140.12. Временных мер защиты, которые позволили бы не обновляться, не существует - уязвимости затрагивают ядро браузера. Mozilla традиционно не публикует информацию об активной эксплуатации этих уязвимостей до выхода патча, но в бюллетене подчёркивается, что некоторые проблемы безопасности памяти могли быть использованы в атаках.
Выпуск Firefox 152 демонстрирует системную работу Mozilla по устранению ошибок классов, характерных для современного веба: повреждения памяти, обходы песочницы и ошибки в JIT-компиляции. В условиях, когда браузер остаётся основным входом в интернет для большинства пользователей, регулярное обновление остаётся единственным надёжным способом минимизировать риски.
Ссылки
