Mozilla закрывает две критические уязвимости в Firefox, Thunderbird и Firefox ESR

В Банке данных угроз безопасности информации (BDU) были опубликованы записи о двух критических уязвимостях в популярном программном обеспечении компании Mozilla. Проблемы затрагивают браузеры Firefox, Firefox ESR и почтовый клиент Thunderbird. Обе уязвимости, получившие идентификаторы BDU:2026-04814 и BDU:2026-04815, уже подтверждены производителем и устранены в последних обновлениях безопасности.

Детали уязвимостей

Первая уязвимость (CVE-2026-4692, BDU:2026-04814) классифицируется как «недостаточная проверка вводимых данных» (CWE-20). Проще говоря, программа не осуществляет должной проверки информации, полученной извне. Вторая проблема (CVE-2026-4691, BDU:2026-04815) является классической уязвимостью типа «использование после освобождения» (Use-After-Free, CWE-416). Эта ошибка возникает, когда программа продолжает использовать участок оперативной памяти после того, как он был освобожден, что может привести к краху приложения или выполнению произвольного кода.

Оценка по системе CVSS для этих уязвимостей достигает максимального значения. Например, базовая оценка CVSS 3.1 для CVE-2026-4692 составляет 10.0 из 10.0. Это указывает на критический уровень опасности. Уязвимости могут быть использованы удаленным злоумышленником без необходимости аутентификации или взаимодействия с пользователем. В результате эксплуатации может быть нарушена конфиденциальность, целостность и доступность информации. Потенциально атака позволяет получить полный контроль над уязвимой системой.

Затронутыми являются устаревшие версии программного обеспечения. Для браузера Firefox и почтового клиента Thunderbird критичны все версии до 149. Для ветки расширенной поддержки Firefox ESR уязвимы версии до 115.34 и до 140.9. Аналогично, для Thunderbird из ветки ESR опасны версии до 140.9. Важно отметить, что уязвимости не зависят от операционной системы или аппаратной платформы. Следовательно, угроза актуальна для пользователей Windows, macOS и Linux.

На данный момент наличие работающих эксплойтов не подтверждено, однако информация уточняется. Учитывая критический характер проблем и широкую распространенность ПО Mozilla, можно ожидать, что киберпреступные группы постараются быстро разработать методы атаки. Например, подобные уязвимости памяти часто становятся целью для распространения вредоносного ПО, включая программы-вымогатели (ransomware).

Производитель оперативно отреагировал на обнаруженные проблемы. Уязвимости были устранены в рамках регулярного цикла обновлений безопасности. Единственным эффективным способом устранения угрозы является немедленное обновление программного обеспечения до актуальных версий.

Для рядовых пользователей и администраторов корпоративных сетей рекомендации предельно ясны. Необходимо проверить и обновить все установленные экземпляры Firefox, Firefox ESR и Thunderbird. В большинстве случаев это можно сделать через встроенный механизм автоматического обновления. В браузере Firefox для этого следует зайти в меню «Справка» и выбрать пункт «О Firefox». Процедура запустит проверку и установку последней версии. Аналогичные действия нужно выполнить в клиенте Thunderbird.

Для организаций, использующих централизованное управление обновлениями, важно как можно скорее развернуть патчи (обновления безопасности) через свои системы управления. Задержка с установкой критических обновлений для такого распространенного ПО значительно повышает риски для всей корпоративной инфраструктуры. Ведь браузер и почтовый клиент являются ключевыми точками входа для многих кибератак.

Обнаружение и публикация этих уязвимостей через официальный канал BDU подчеркивает важность мониторинга подобных источников для специалистов по кибербезопасности. Своевременное применение исправлений остается самым эффективным способом защиты. В данном случае производитель уже предоставил все необходимые патчи, и ответственность за безопасность теперь лежит на пользователях и системных администраторах, которые должны обеспечить их установку.

Детали уязвимостей

Ссылки