В начале июня 2026 года разработчики Mozilla выпустили внеплановое обновление браузера Firefox. Версия 151.0.3 устраняет сразу две уязвимости высокого уровня опасности. Об этом сообщается в бюллетене безопасности mfsa2026-54. Пользователям настоятельно рекомендуется как можно скорее установить патч.
Детали уязвимостей
Обе проблемы были обнаружены сторонними исследователями. Первая уязвимость, зарегистрированная как CVE-2026-10701, связана с некорректной обработкой граничных условий в компоненте Graphics: Text (графический модуль, отвечающий за отображение текста). Её нашёл специалист под псевдонимом taiho kim. Вторая - CVE-2026-10702 - представляет собой ошибку компиляции в JIT-компиляторе (Just‑In‑Time - технология динамической компиляции кода "на лету", которая ускоряет выполнение скриптов) внутри движка JavaScript Engine. Эту уязвимость обнаружила команда Nebula Security.
Согласно бюллетеню Mozilla, обе уязвимости получили высокий рейтинг опасности. Точный вектор атаки и возможные сценарии эксплуатации в официальном описании не раскрываются. Однако характер ошибок позволяет предположить, что злоумышленник может добиться выполнения произвольного кода в системе жертвы.
Чтобы понять суть проблемы, стоит разобраться, что именно пошло не так. В первом случае - CVE-2026-10701 - речь идёт о неверных границах в модуле отрисовки текста. Когда браузер обрабатывает шрифты и выводит символы на экран, он работает с буферами памяти. Если границы заданы неправильно, атакующий может подать специально сформированный текстовый элемент, который вызовет переполнение буфера. Это классический путь к запуску вредоносного кода.
Вторая уязвимость - CVE-2026-10702 - затрагивает JIT-компилятор. Этот механизм превращает часто используемые участки JavaScript-кода в машинный код для ускорения работы сайтов. Ошибка компиляции приводит к тому, что сгенерированный машинный код содержит непредусмотренные инструкции. Такое поведение может быть использовано для обхода защитных механизмов браузера, например, изоляции процессов. Атакующему достаточно заставить пользователя открыть страницу с особым скриптом, чтобы получить контроль над браузером или даже над всей операционной системой.
Обе уязвимости были исправлены в Firefox 151.0.3. Версии браузера, выпущенные ранее, считаются уязвимыми. Mozilla не сообщает об активных атаках с использованием этих ошибок, но учитывая высокий уровень угрозы, нельзя исключать, что эксплойты (программы, реализующие атаку) могут появиться в ближайшее время.
Что это значит для обычного пользователя? В первую очередь - необходимо установить обновление. Firefox обычно обновляется автоматически, но стоит проверить, установлена ли версия 151.0.3. Для этого нужно открыть меню "Справка" - "О Firefox". Если обновление не загрузилось, его можно скачать вручную с официального сайта mozilla.org.
Для корпоративных пользователей и администраторов безопасности ситуация сложнее. Уязвимости высокого уровня в браузере, который используется тысячами сотрудников, могут стать входной точкой для целевой атаки. Рекомендуется ускорить развёртывание патча через системы управления обновлениями. Кроме того, стоит обратить внимание на настройки политик безопасности - например, отключить выполнение JavaScript из непроверенных источников или использовать расширения для фильтрации скриптов. Но главная защита - своевременное обновление.
Стоит отметить, что исследователи, обнаружившие проблемы, действовали в рамках программы bug bounty (программа вознаграждения за поиск уязвимостей) Mozilla. Компания поощряет ответственное раскрытие информации и оперативно выпускает исправления. Однако сам факт появления двух серьёзных ошибок в одном релизе говорит о сложности поддержания безопасности такого крупного проекта, как Firefox.
По данным бюллетеня, уязвимости были зафиксированы во внутренних баг-трекерах под номерами 2038537 и 2040903. Полные технические детали пока не опубликованы - Mozilla следует политике ограниченного раскрытия, чтобы дать пользователям время на установку патча.
В заключение стоит подчеркнуть: обновление браузера - один из самых простых и эффективных способов защитить себя от атак, использующих уязвимости нулевого дня (то есть такие, о которых разработчик ещё не знал). Firefox 151.0.3 закрывает обе проблемы, поэтому откладывать установку не стоит. Специалисты по информационной безопасности рекомендуют также регулярно проверять список установленных расширений - они могут стать дополнительным вектором атаки. Но в данном случае достаточно просто обновиться.
Разработчики уже получили благодарности от Mozilla за обнаружение уязвимостей. Следующий стабильный релиз Firefox, вероятно, будет содержать дополнительные улучшения безопасности. А пока пользователи могут быть уверены: после установки патча риск эксплуатации этих двух уязвимостей сведён к нулю.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-54/
- https://www.cve.org/CVERecord?id=CVE-2026-10702
- https://www.cve.org/CVERecord?id=CVE-2026-10701
