Mozilla Foundation выпустила внеплановое обновление для версии Firefox ESR 115.37, устраняющее одиннадцать уязвимостей. Восемь из них имеют высокую степень опасности, две - среднюю, одна - низкую. Ошибки затрагивают компоненты браузера, связанные с графикой, сетью, DOM и работой с памятью. Сообщения об уязвимостях поступили от внешних исследователей и внутренней команды Mozilla Fuzzing Team.
Детали уязвимостей
Наиболее опасной стала уязвимость CVE-2026-12289 в компоненте Graphics: WebRender. Её обнаружил исследователь choeseyeong. Потенциальная эксплуатация позволяла нарушителю повысить свои привилегии в системе. В бюллетене Mozilla указано, что ошибка допускала выполнение кода с уровнем доступа выше ожидаемого. Другая критическая проблема, CVE-2026-12290, связана с ошибкой безопасности памяти. Её автор - jayjayjazz. Уязвимость могла привести к повреждению данных и последующему выполнению произвольного кода.
Ряд уязвимостей затрагивает компоненты DOM и Workflow. CVE-2026-12294 (обнаружена Quy Pham) позволяет обойти песочницу через механизм Workers. CVE-2026-12295 (Yaqoub Aldurayhim) даёт аналогичную возможность через компонент Navigation. CVE-2026-12297 (исследователь zx) связана с некорректными граничными условиями в Networking - нарушитель мог бы выйти за пределы изолированной среды. Все три ошибки классифицированы как высокие по степени влияния.
Ещё одна уязвимость высокой степени опасности - CVE-2026-12299 (Hyeonjun Ahn) - относится к JIT-компиляции в DOM: Core & HTML. Неверная компиляция "на лету" могла бы позволить злоумышленнику выполнить произвольный код. CVE-2026-12302 (lebr0nli) получила средний рейтинг и касается обхода механизмов безопасности в компоненте DOM: Security. CVE-2026-12330 (Mozilla Fuzzing Team) - ошибка границ в модуле интернационализации (средняя опасность). Низкую степень влияния присвоили CVE-2026-12325 (Securin), вызывающей отказ в обслуживании через компонент Graphics: ImageLib.
Отдельного внимания заслуживает CVE-2026-12328, описанная как набор ошибок безопасности памяти, присутствовавших в нескольких версиях Firefox и Thunderbird (ESR 115.36, ESR 140.11, Firefox 151, Thunderbird 151). Разработчики отметили, что некоторые из этих ошибок приводили к повреждению памяти, и при достаточных усилиях их можно было бы использовать для выполнения произвольного кода. В исправлении участвовали Andrew McCreight, Randell Jesup, Tom Ritter и команда фаззинга Mozilla.
Все перечисленные уязвимости устранены в версии Firefox ESR 115.37. Пользователям корпоративных версий браузера, где применяется Extended Support Release, следует выполнить обновление как можно скорее. Учитывая высокую совокупную опасность, задержка с установкой патча увеличивает риск компрометации системы. Обычным пользователям, использующим обычную ветку Firefox, также стоит убедиться, что у них установлена актуальная версия - многие ошибки были исправлены и в более новых выпусках браузера. Временные меры защиты, такие как отключение отдельных функций или изменение настроек, в бюллетене не рекомендуются; единственный надёжный способ - установка обновления.
Ссылки
