Разработчики Mozilla выпустили внеплановое обновление браузера Firefox для операционной системы Windows. Новая сборка под номером 150.0.3 устраняет сразу пять уязвимостей, четырём из которых присвоен высокий уровень опасности. Наиболее тревожное сочетание факторов заключается в том, что атакующему достаточно заманить пользователя на специально подготовленную веб-страницу, чтобы получить полный контроль над системой.
Детали уязвимости
Согласно официальному бюллетеню безопасности Mozilla Foundation Security Advisory 2026-45, опубликованному 12 мая 2026 года, все уязвимости затрагивают браузер Firefox версий ниже 150.0.3, работающий под управлением ОС Windows. Обновление не затронуло пользователей macOS и Linux, что, впрочем, не отменяет необходимости установки свежих патчей и для них - просто в рамках других бюллетеней.
Самую серьёзную угрозу несут проблемы, связанные с JavaScript Engine и компонентом JIT (Just-In-Time - компилятор, работающий в реальном времени и отвечающий за оптимизацию выполнения скриптов). Исследователь под псевдонимом ggwhyp обнаружил две ошибки: некорректные граничные условия в JIT (CVE-2026-8388) и неверную компиляцию (miscompilation) в том же компоненте (CVE-2026-8389). Обе уязвимости позволяют злоумышленнику выполнить произвольный код на целевой машине.
Между тем, ещё один баг в JavaScript Engine, но уже в подсистеме WebAssembly (CVE-2026-8390), может привести к повреждению памяти после её освобождения. Этот термин означает ситуацию, когда программа продолжает обращаться к участку памяти, который уже был возвращён системе. Подобное поведение часто используют для подмены исполняемого кода. Уязвимость нашёл Билл Демеркапи из команды OpenAI Preparedness.
Четвёртая уязвимость в JavaScript Engine (CVE-2026-8391), также обнаруженная ggwhyp, не конкретизирована в бюллетене, но её высокий рейтинг опасности не оставляет сомнений в серьёзности последствий. Наконец, уязвимость CVE-2026-8401 затрагивает компонент Profile Backup. Это уже не просто уязвимость браузера, а полноценный побег из песочницы. Под термином "песочница" подразумевается изолированное окружение, в котором запускается непроверенный код. Если злоумышленник преодолеет эту защиту, он получит доступ к ресурсам системы за пределами браузера.
Почему эта комбинация особенно опасна? Дело в том, что для успешной атаки, скорее всего, потребуется цепочка уязвимостей. Сначала злоумышленник использует баг в JIT или WebAssembly для выполнения произвольного кода внутри песочницы Firefox. Затем, благодаря уязвимости CVE-2026-8401, он получает возможность выйти за её пределы. В итоге атакующий получает полноценный доступ к операционной системе, что позволяет устанавливать программы-вымователи, похищать пароли и финансовые данные.
На данный момент неизвестно о реальных случаях эксплуатации этих уязвимостей в атаках. Однако, учитывая, что все четыре уязвимости в JavaScript Engine были обнаружены одним исследователем, можно предположить, что он планомерно тестировал границы движка. Как правило, такие находки делаются в ходе целенаправленного аудита, который уже может привлечь внимание злоумышленников.
Для пользователей Windows рекомендация одна - немедленно обновить Firefox до версии 150.0.3. Сделать это можно через встроенный механизм обновления: меню "Справка" - "О Firefox" - автоматически начнётся загрузка патчей. Альтернативный вариант - скачать новую сборку с официального сайта Mozilla.
Стоит отметить, что в последнее время исследователи всё чаще находят критические уязвимости в компонентах JavaScript Engine именно в браузерах на десктопных платформах. Это не удивительно - современные веб-приложения требуют высокой производительности выполнения скриптов, и разработчики идут на усложнение логики JIT-компиляторов. Чем сложнее код, тем выше вероятность ошибок. В данной ситуации пользователи Windows оказались в группе риска, но это не значит, что остальные платформы в безопасности. Mozilla регулярно выпускает патчи для всех версий, поэтому игнорировать уведомления об обновлениях не стоит.
В заключение подчеркну: высокая оценка опасности (high) в бюллетене Mozilla не означает, что уязвимости тривиальны в эксплуатации. Тем не менее, для атакующего, который уже нашёл векторы доступа к цепочке атак, каждая такая ошибка - подарок. Лучшая защита в данном случае - своевременное обновление программного обеспечения.
Ссылки
