Mozilla выпустила внеочередное обновление Firefox 152.0.4, устраняющее уязвимость высокого уровня опасности, связанную с ошибками в управлении памятью. Об этом сообщается в бюллетене безопасности Mozilla Foundation Security Advisory 2026-62. Проблема была обнаружена собственной командой фаззинга (метод автоматизированного тестирования с использованием случайных или некорректных данных) при участии исследователей Кристиана Холлера, Габриэле Свельто, Грега Столла.
Уязвимость CVE-2026-14241
Уязвимость получила идентификатор CVE-2026-14241. Она присутствовала в версиях Firefox до 152.0.3 включительно. Согласно описанию, в коде браузера были найдены множественные ошибки безопасности памяти. Некоторые из них демонстрировали признаки повреждения памяти, что, по оценке разработчиков, могло позволить злоумышленнику при достаточных усилиях добиться выполнения произвольного кода. Такая атака потенциально давала бы полный контроль над системой жертвы.
Важно подчеркнуть, что речь идёт не о единой ошибке, а о группе дефектов, которые в совокупности создавали угрозу. Mozilla классифицировала часть из них как ошибки высокой степени серьёзности, часть - как умеренные. Однако именно CVE-2026-14241 стала основной причиной для выпуска внепланового патча. Обычно подобные уязвимости закрываются в рамках регулярных циклов обновлений, но высокий риск эксплуатации заставил Mozilla действовать оперативно.
В чём суть проблемы. Ошибки безопасности памяти - это класс уязвимостей, при которых программа некорректно обращается с выделением, использованием или освобождением оперативной памяти. В случае с Firefox некорректные операции могли привести к переполнению буфера, записи за границы массива или обращению к уже освобождённому участку памяти. Каждый из этих сценариев может быть использован атакующим для внедрения и выполнения вредоносного кода. Подобные дефекты традиционно сложны для автоматического обнаружения, но команда фаззинга Mozility активно ищет их с помощью техник рандомизированного тестирования.
Кому угрожает уязвимость. Под ударом находятся все пользователи Firefox версий до 152.0.4. Поскольку браузер установлен на сотнях миллионов устройств по всему миру, потенциальный масштаб атак очень велик. Особенно уязвимы корпоративные пользователи, которые могут стать целью целевых атак. Злоумышленник мог бы организовать атаку через специально сконфигурированную веб-страницу или внедрить вредоносный код в рекламные сети. Для эксплуатации потребовалось бы заставить жертву открыть ссылку в уязвимом браузере - типичный вектор с использованием социальной инженерии или компрометации легитимных сайтов.
Что делать пользователям. Mozilla рекомендует установить Firefox 152.0.4 как можно скорее. Обновление доступно через встроенный механизм обновления браузера - достаточно перейти в меню "Справка" → "О Firefox". Для тех, кто использует Firefox ESR (Extended Support Release, версия с длительной поддержкой), отдельного патча не выпущено, поскольку корпоративная ветка ещё не достигла уязвимого состояния - она базируется на более старой кодовой базе. Однако пользователям ESR стоит следить за новыми выпусками своей ветки.
Интересно отметить, что это не первый случай, когда Mozilla закрывает критические ошибки памяти в Firefox. Подобные бюллетени выходят регулярно - примерно раз в два-три месяца. Это говорит о сложности поддержки безопасности крупного кодового проекта. Команда фаззинга Mozilla, основанная ещё в 2016 году, считается одной из самых эффективных в индустрии: она нашла тысячи уязвимостей в самом браузере и в других проектах с открытым исходным кодом. Тем не менее, полное искоренение таких дефектов невозможно, поэтому регулярные обновления остаются единственным надёжным способом защиты.
Текущее обновление не приносит новых функций - это исключительно патч безопасности. Для пользователей, которые откладывают установку, риски продолжают расти. Аналитики по кибербезопасности рекомендуют настроить автоматическое обновление браузера, чтобы минимизировать окно уязвимости. В корпоративной среде важно проверить, не блокируют ли групповые политики установку обновлений, и при необходимости развернуть патч централизованно.
Таким образом, ситуация развивается по стандартному сценарию: обнаружение дефекта, оперативный выпуск исправления, призыв к обновлению. Для обычных пользователей единственная необходимая мера - установка Firefox 152.0.4. Для специалистов по ИБ это ещё один сигнал о том, что управление памятью остаётся слабым звеном в архитектуре современных браузеров и что автоматизированное фаззинг-тестирование остаётся главным инструментом выявления таких ошибок.
Ссылки