Mozilla выпустила внеплановое обновление Firefox 152.0.6, а также Firefox for iOS 152.4, устраняющее несколько уязвимостей, две из которых отнесены к критическому уровню опасности. Компания признала, что для CVE-2026-15718 и CVE-2026-15719 уже существует публичный эксплойт, однако атак с использованием этих недостатков в реальных условиях пока не зафиксировано. Информация об этом содержится в бюллетене безопасности Mozilla Foundation Security Advisory 2026-67, опубликованном 14 июля 2026 года.
Детали уязвимостей
Первая критическая уязвимость, CVE-2026-15718, обнаружена исследователем Кристианом Холлером в компоненте JavaScript: WebAssembly. Проблема вызвана некорректным указателем на память, что может привести к удаленному выполнению кода на системе пользователя. WebAssembly - это низкоуровневая виртуальная машина, используемая браузерами для выполнения кода с производительностью, близкой к нативной. Ошибка в управлении памятью в этом компоненте позволяет злоумышленнику, контролирующему вредоносную веб-страницу, выполнить произвольный код с привилегиями браузера. Уязвимость затрагивает все версии Firefox до 152.0.6.
Вторая уязвимость - CVE-2026-15719, обнаруженная Ацуси Садой, связана с механизмом изоляции сайтов (site isolation) в компоненте DOM: Navigation. DOM (Document Object Model) - это интерфейс, через который браузер взаимодействует с содержимым веб-страницы. Проблема позволяет обойти ограничения безопасности, накладываемые политикой одного источника (same-origin policy), и получить доступ к данным другого сайта, открытого в той же вкладке или в другом окне. В случае успешной эксплуатации атакующий может украсть куки, токены аутентификации или изменить содержимое страницы, что в конечном итоге приводит к удаленному выполнению кода и компрометации системы.
Обе эти уязвимости Mozilla оценила как критические. В бюллетене подчеркивается, что код эксплойта для них уже опубликован, что существенно повышает риск для пользователей, не установивших обновление. Однако, по данным компании, вредоносные атаки с использованием этих недостатков в дикой природе пока не обнаружены.
Отдельно Mozilla устранила уязвимость CVE-2026-14906, затрагивающую Firefox для iOS. Она связана с функцией сохранения веб-страниц в формат PDF. Страницы с вредоносным заголовком могли позволить перезаписать загружаемые PDF-файлы или ресурсы в изолированной среде приложения Firefox for iOS. Проблема исправлена в версии 152.4. Хотя эта уязвимость не классифицирована как критическая, она все же может привести к изменению данных на устройстве при определенных условиях.
Таким образом, в общей сложности в обновлении закрыты три уязвимости, но наибольшую опасность представляют CVE-2026-15718 и CVE-2026-15719 из-за публичной доступности эксплойта. Атакующий может создать специально сформированную веб-страницу, которая при посещении пользователем запускает вредоносный код в контексте браузера. В случае успешной эксплуатации потенциальные последствия включают отказ в обслуживании, удаленное выполнение кода, обход ограничений безопасности и манипуляцию данными.
Mozilla рекомендует всем пользователям Firefox немедленно обновиться до версии 152.0.6, а владельцам устройств на iOS - установить Firefox для iOS версии 152.4. Обновление распространяется автоматически для большинства пользователей, но компания советует убедиться в его установке через меню "О Firefox" или в магазине приложений. Временных мер защиты, кроме установки патча, не предусмотрено.
Выпуск критического обновления со стороны Mozilla в середине июля 2026 года, спустя менее двух недель после предыдущего стабильного релиза, свидетельствует о стремлении реагировать на угрозы с публичными эксплойтами оперативно. Ситуация напоминает аналогичные инциденты прошлых лет, когда уязвимости нулевого дня в браузерах активно использовались в целевых атаках. Наличие готового эксплойта значительно сокращает время, необходимое для организации атаки, поэтому пользователям критически важно не откладывать установку патча.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-67/
- https://www.cve.org/CVERecord?id=CVE-2026-14906
- https://www.cve.org/CVERecord?id=CVE-2026-15718
- https://www.cve.org/CVERecord?id=CVE-2026-15719