Пять критических уязвимостей в Mozilla Firefox и Thunderbird: возможен удаленный захват системы

Корпоративные пользователи и системные администраторы столкнулись с серьезной угрозой. Специалисты по информационной безопасности зафиксировали пять критических уязвимостей в популярных продуктах Mozilla - браузере Firefox, версии Firefox ESR (браузер с долгосрочной поддержкой для предприятий) и почтовом клиенте Thunderbird. Каждая из них получила максимальные оценки по шкалам опасности. Все уязвимости затрагивают не только сами приложения, но и широкий спектр операционных систем на ядре Linux, включая дистрибутивы Red Hat Enterprise Linux, Debian, Ubuntu и российскую РЕД ОС.

Детали уязвимостей

Проблемы были подтверждены производителем 24 марта 2026 года. Соответствующие записи внесены в Банк данных угроз безопасности информации (BDU) и базу CVE . Эксплуатация этих ошибок позволяет злоумышленнику, действующему удалённо, выполнить произвольный код или обойти существующие механизмы защиты.

Первая уязвимость BDU:2026-08474 (CVE-2026-4700) связана с компонентом Networking: HTTP. Речь идёт об обходе процедуры аутентификации посредством использования альтернативного пути. Простыми словами, атакующий может получить доступ к защищённым данным, минуя проверку подлинности. Это особенно опасно для корпоративных сред, где Firefox и Thunderbird часто используются для работы с конфиденциальными документами.

Вторая уязвимость BDU:2026-08475 (CVE-2026-4702) кроется в компоненте JavaScript Engine - движке, который отвечает за выполнение скриптов на веб-страницах. Ошибка классифицируется как "использование памяти после её освобождения". Подобная проблема возникает, когда программа пытается обратиться к уже освобождённому участку памяти. Это может привести к неконтролируемому выполнению кода, что в руках злоумышленника означает полный захват системы.

Третья уязвимость BDU:2026-08477 (CVE-2026-4705) обнаружена в компоненте WebRTC: Signaling. WebRTC (протокол для передачи аудио и видео в реальном времени) широко используется в браузерах и почтовых клиентах для звонков и видеоконференций. Ошибка связана с зависимостью от неопределённого для каждого типа реализации поведения. Иными словами, разные версии программного обеспечения могут вести себя по-разному при обработке сетевых запросов, что позволяет нарушителю влиять на конфиденциальность, целостность и доступность информации.

Четвёртая уязвимость BDU:2026-08511 (CVE-2026-4710) затрагивает компонент Audio/Video. Здесь зафиксирован выход операции за границы буфера в памяти. Это классический сценарий переполнения буфера, который может привести к выполнению произвольного кода. Такая уязвимость особенно опасна при обработке медиафайлов - достаточно заставить пользователя открыть специально подготовленный файл или посетить вредоносный сайт.

Пятая уязвимость BDU:2026-08513 (CVE-2026-4711) - ещё одна проблема использования памяти после освобождения, на этот раз в компоненте Widget: Cocoa. Этот тип ошибки может привести к тому, что программа начнёт выполнять код, который уже не принадлежит ей, тем самым открывая путь атакующему.

Важно отметить, что все пять уязвимостей получили оценку 9,8 по шкале CVSS 3.1 и 10 по шкале CVSS 2.0. Это наивысший уровень опасности. При этом данные о наличии готовых эксплойтов пока уточняются, однако отсутствие публичных доказательств не означает, что вредоносные программы не могут быть написаны в любой момент.

Перечень уязвимых систем впечатляет. Под удар попали практически все поддерживаемые версии Red Hat Enterprise Linux (с 7 по 10, включая многочисленные пакеты обновлений), Debian GNU/Linux 11, 12, 13, Ubuntu 22.04 LTS, а также российская операционная система РЕД ОС версии 8.0, включённая в единый реестр отечественного ПО. Таким образом, угроза затрагивает огромный сегмент корпоративной инфраструктуры, включая государственные учреждения и крупные предприятия.

Хорошая новость в том, что Mozilla уже выпустила обновления. Ссылки на исправления доступны в официальных бюллетенях безопасности. Для Firefox и Thunderbird рекомендуемые версии - 140.10.2 для рядовых пользователей и 140.9 для версии с долгосрочной поддержкой. Для операционных систем обновления также опубликованы. В частности, дистрибутивы Red Hat, Debian и Ubuntu уже включили исправления в свои репозитории. Российская компания "Ред Софт" также предоставила обновление для РЕД ОС.

Тем не менее специалисты призывают не откладывать установку патчей. Учитывая критический характер уязвимостей и их массовость, промедление может стоить дорого. Компаниям, использующим Firefox, Firefox ESR и Thunderbird в инфраструктуре, рекомендуется в первую очередь обновить эти приложения на всех рабочих станциях и серверах. Дополнительно стоит провести аудит безопасности, чтобы убедиться, что все системы, включая те, что работают в изолированных сегментах сети, получили обновления.

В условиях, когда злоумышленники всё чаще атакуют через браузеры и почтовые клиенты (эти программы имеют прямой выход в интернет), игнорирование подобных предупреждений чревато серьёзным инцидентом. Уязвимости класса "обход аутентификации" и "выполнение произвольного кода" позволяют не просто украсть данные, но и закрепиться в сети жертвы, развивая атаку дальше.

Таким образом, обнаружение сразу пяти критических ошибок в продуктах одного вендора - событие, которое требует оперативного реагирования от всех ИБ-специалистов. Установка обновлений сегодня - это не бюрократическая процедура, а необходимое условие для сохранения контроля над корпоративной инфраструктурой.