Mozilla выпустила внеплановые обновления для браузера Firefox и его версии с расширенной поддержкой (ESR - Extended Support Release, выпуск с длительным сроком обслуживания). Патчи закрывают пять уязвимостей, самая опасная из которых (CVE-2026-8090) позволяла злоумышленнику выполнить произвольный код на компьютере жертвы. Под ударом оказались пользователи Windows, использующие Firefox до версии 150.0.2, а также Firefox ESR версий ниже 115.35.2 и 140.10.2.
Детали уязвимостей
Корень проблемы - в ошибке использования после освобождения (use-after-free) в компоненте DOM: Networking. Если объяснить просто, то после того, как фрагмент данных в памяти переставал быть нужным, программа не помечала ячейку как свободную, а продолжала на неё ссылаться. При определённых условиях атакующий мог подсунуть в ячейку вредоносный код. Эту уязвимость обнаружил исследователь Кевин Броснан. Ей присвоен высокий уровень опасности.
Ещё три уязвимости (CVE-2026-8092, CVE-2026-8093, CVE-2026-8091) относятся к категории ошибок безопасности памяти. В Firefox ESR 115.35.1, 140.10.1 и Firefox 150.0.1 были найдены фрагменты кода, которые при обработке специально подготовленных веб-страниц могли вызвать повреждение данных в оперативной памяти. Исследователи Mozilla и внешние специалисты (среди них Эндрю МакКрайт, Кристиан Холлер, Ли Зальцман, Маурис Дауэр, Том Шустер, Уэйн Мери, а также команды Mozilla Fuzzing Team и другие) предположили, что при достаточной настойчивости злоумышленник смог бы превратить эти ошибки в полезную нагрузку (payload), то есть запустить произвольный код. Отметим, что уязвимости CVE-2026-8092 и CVE-2026-8093 касаются всех трёх веток Firefox, а CVE-2026-8091 - только версии ESR 115.35.2.
В ветке Firefox ESR 140.10.2 была дополнительно устранена проблема CVE-2026-8094 в компоненте WebRTC (технология для аудио- и видеозвонков в браузере). Её обнаружил специалист Майкл Фроман. Хотя детали не раскрыты, Mozilla оценила её серьёзность как высокую.
Как злоумышленники могли использовать эти уязвимости? Вектор атаки типичен для браузерного вредоносного ПО: жертву заманивают на сайт, где размещён специально сформированный код. Достаточно просто открыть страницу - и атакующий получает контроль над браузером, а затем и над системой. Учитывая, что Firefox - один из самых популярных браузеров в корпоративной среде, последствия могли бы быть катастрофическими: утечка данных, установка программ-вымогателей (ransomware), кража учётных записей.
Интересно, что все патчи вышли одновременно для стабильного релиза и обеих веток длительной поддержки. Это говорит о том, что уязвимости, вероятно, были обнаружены в ходе внутреннего аудита или от внешних исследователей, а не в результате активной эксплуатации. Тем не менее Mozilla рекомендует обновиться немедленно.
Что делать пользователям и администраторам? Прежде всего проверить установленную версию Firefox. Для этого нужно открыть меню "Справка" → "О Firefox". Если номер ниже 150.0.2 (для обычного Firefox) или ниже 115.35.2 / 140.10.2 (для ESR), то браузер следует обновить вручную. Обновление доступно на официальном сайте Mozilla: https://www.mozilla.org/en-US/firefox/all/#product-desktop-release для стабильной версии и https://www.mozilla.org/en-US/firefox/all/#product-desktop-esr для ESR. В корпоративных сетях обновления можно распространить через системы централизованного управления конфигурациями.
Стоит отметить, что на этот раз обновления выпущены только для Windows. Пользователи macOS и Linux, скорее всего, не затронуты, но точной информации об этом в бюллетене нет. Mozilla традиционно рекомендует всем пользователям устанавливать обновления безопасности сразу после публикации.
Напомним: в апреле 2026 года Mozilla уже устраняла несколько опасных уязвимостей в Firefox, включая проблему, связанную с SVG-шрифтами. Нынешний бюллетень (MFSA2026-40, MFSA2026-41, MFSA2026-42) показывает, что разработчики продолжают оперативно реагировать на угрозы.
Вывод очевиден: даже в тщательно протестированном браузере могут обнаружиться критические ошибки. Единственный способ защититься - своевременно устанавливать патчи. Игнорирование обновлений в данном случае грозит не только потерей данных, но и полной компрометацией системы. Если вы используете Firefox на рабочем компьютере, обязательно проверьте версию прямо сейчас.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-40/
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-41/
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-42/
