30 апреля 2026 года команда Mozilla выпустила сразу два бюллетеня безопасности, посвящённых почтовому клиенту Thunderbird. В общей сложности разработчики устранили пять уязвимостей, три из которых получили высокий уровень опасности, а одна - критический. Пользователям настоятельно рекомендуется как можно скорее установить обновления, ведь некоторые из этих проблем позволяют злоумышленнику выполнить произвольный код на устройстве жертвы.
Почему это событие важно?
Thunderbird - один из самых популярных почтовых клиентов с открытым исходным кодом. Его используют миллионы людей по всему миру, включая сотрудников государственных учреждений и крупных компаний. Учитывая, что почтовый клиент часто обрабатывает конфиденциальную переписку, любая уязвимость в нём представляет серьёзную угрозу для конфиденциальности данных и целостности систем. Несмотря на то что разработчики Mozilla ограничивают выполнение скриптов при чтении писем, найденные дефекты могут быть использованы в других контекстах - например, при открытии HTML-писем или ссылок в браузерном режиме.
Детали уязвимостей
Первая уязвимость, зарегистрированная как CVE-2026-7320 (идентификатор в международном реестре уязвимостей), связана с некорректными граничными условиями в компоненте Audio/Video. Она приводит к раскрытию информации - то есть атакующий потенциально может прочитать данные, которые не должны быть ему доступны. Проблему обнаружил исследователь Xuehao Guo.
Вторая проблема, CVE-2026-7321, затрагивает компонент WebRTC: Networking. Речь идёт об ошибке в обработке граничных условий, которая позволяет обойти изолированную среду (песочницу). Проще говоря, атакующий может вырваться из ограниченного окружения, в котором обычно выполняются потенциально опасные операции, и получить доступ к основной системе. Однако Mozilla оценила эту уязвимость как умеренную по уровню опасности - её сложнее проэксплуатировать в реальных условиях.
Наибольшую тревогу вызывают проблемы безопасности памяти, которые описываются в бюллетенях под номерами CVE-2026-7322, CVE-2026-7323 и CVE-2026-7324. Первая из них получила критический статус, остальные - высокий. Разработчики Mozilla сообщают, что в версиях Thunderbird до 150.0.0 и Thunderbird ESR до 140.10.0 были обнаружены ошибки, приводящие к повреждению памяти. В документации говорится: "Некоторые из этих ошибок демонстрировали признаки повреждения памяти, и мы полагаем, что при достаточных усилиях некоторые из них могли быть использованы для выполненения произвольного кода". Иными словами, злоумышленник, отправив специально сформированное письмо или заставив пользователя открыть вредоносный контент, мог бы взять под контроль программу, а затем и всю операционную систему.
Над поиском этих уязвимостей работали как независимые исследователи, так и команда Mozilla Fuzzing Team, которая занимается автоматизированным тестированием на устойчивость к случайным искажениям данных (фаззингом). Среди авторов - C.M.Chang, Christian Holler, Steve Fink, Ryan Hunt и другие.
Какие системы затронуты?
Проблемы затрагивают все версии Thunderbird, выпущенные до 150.0.1, а также ветку Thunderbird ESR (Extended Support Release) - версии до 140.10.1 включительно. ESR - это долгосрочная версия, которую используют организации, чтобы реже обновлять программное обеспечение. Именно пользователям ESR стоит быть особенно внимательными, ведь их система может оставаться уязвимой дольше.
Почему это не так просто?
Важная оговорка, которую делают разработчики: в Thunderbird по умолчанию отключены скрипты при чтении электронной почты. Поэтому напрямую через письмо уязвимость, скорее всего, не сработает. Однако риски сохраняются в браузерных контекстах - например, если пользователь открывает HTML-письмо с активным содержимым или переходит по ссылке из письма, которая открывается в самом Thunderbird (встроенный браузер). Кроме того, уязвимости могут быть использованы через другие векторы - например, через загрузку вредоносных вложений или через сетевые взаимодействия (WebRTC). Поэтому расслабляться не стоит.
Последствия для бизнеса и пользователей
Атака с использованием критической уязвимости памяти может привести к полной компрометации рабочей станции. Для предприятия это означает не только утечку конфиденциальной переписки, но и потенциальное распространение вредоносного программного обеспечения внутри корпоративной сети. Особенно опасно, если Thunderbird используется на серверах или на компьютерах с повышенными привилегиями.
Уязвимость раскрытия информации (CVE-2026-7320) угрожает конфиденциальности данных, хранящихся в памяти процесса - это могут быть учётные записи, ключи шифрования или временные копии писем. Побег из песочницы (CVE-2026-7321) позволяет атакующему преодолеть изоляцию и получить доступ к файловой системе и другим процессам.
Что делать специалистам?
Рекомендуется немедленно обновить Thunderbird до версии 150.0.1 (для основной ветки) или до версии 140.10.1 (для ветки ESR). Обновление можно выполнить через встроенный механизм проверки обновлений или скачать установочные пакеты с официального сайта Mozilla. Также стоит рассмотреть возможность отключения встроенного браузера в настройках программы, если он не используется. В целом стоит напомнить пользователям, что открытие писем от неизвестных отправителей и переход по подозрительным ссылкам - повышенный риск, особенно до установки патча.
Вывод
Mozilla оперативно отреагировала на обнаружение уязвимостей и выпустила исправления в течение одного дня после публикации бюллетеней. Тем не менее каждая новая находка подчёркивает важность регулярного обновления программного обеспечения, даже такого привычного, как почтовый клиент. Пока злоумышленники не начали активно использовать эти дыры, пользователям стоит закрыть их как можно скорее.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-38/
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-39/
- https://www.cve.org/CVERecord?id=CVE-2026-7320
- https://www.cve.org/CVERecord?id=CVE-2026-7321
- https://www.cve.org/CVERecord?id=CVE-2026-7322
- https://www.cve.org/CVERecord?id=CVE-2026-7323
- https://www.cve.org/CVERecord?id=CVE-2026-7324
