Корпорация Mozilla выпустила экстренное обновление для мобильного браузера Firefox на iOS. Причина - две критические уязвимости, которые позволяют злоумышленнику выполнить произвольный код на устройстве жертвы. Опасность высокая, и патч уже доступен. Разбираемся, в чём суть проблем и кому стоит срочно обновиться.
Детали уязвимостей
Обе уязвимости связаны с режимом чтения - функцией, которая преобразует веб-страницы в удобный для чтения формат. Обычный пользователь не замечает подвоха: достаточно открыть вредоносную ссылку, и браузер сам подставит в HTML-шаблон нужные данные. Но разработчики обнаружили, что при замене внутренних маркеров в шаблоне страницы порядок операций выполнен неверно. Исследователь Мунеаки Нисимура из Японии выявил, что контент страницы вставляется раньше, чем обрабатываются внутренние плейсхолдеры. В результате атакующий может подсунуть строку, которая позже будет заменена данными из JSON-LD (формата для структурированных метаданных). Это открывает путь к выполнению произвольного JavaScript-кода.
Первая уязвимость получила идентификатор CVE-2026-9308. Как поясняет Mozilla, проблема в неправильной последовательности подстановок. Вторая - CVE-2026-9309 - связана с недостаточным экранированием HTML-тегов в метаданных JSON-LD внутри режима чтения. Злоумышленник может внедрить разметку, которая меняет поведение функции и допускает утечку чувствительных параметров URL. Эти параметры затем используются для доступа к внутренним страницам браузера, что приводит к выполнению произвольного JavaScript в контексте внутреннего источника. Обе уязвимости имеют высокий уровень опасности по шкале CVSS, хотя точные оценки пока не опубликованы.
Кого касается угроза? Речь идёт только о версиях Firefox для iOS до 151.2. Пользователи настольных версий Firefox, а также браузеров на Android не пострадали. Однако именно на iOS режим чтения оказался слабым звеном. Атака возможна удалённо - жертве достаточно перейти на специально подготовленную веб-страницу. После этого злоумышленник может выполнить произвольный код в браузере, что потенциально ведёт к краже данных, установке вредоносных расширений или другим неприятным последствиям. Поскольку браузер работает в изолированной среде iOS, выйти за её пределы сложно, но украсть файлы cookie или данные автозаполнения - вполне возможно.
Примечательно, что обе уязвимости обнаружил один исследователь - Мунеаки Нисимура. Он работает в области безопасности и регулярно находит баги в браузерах. Mozilla поблагодарила его за ответственное раскрытие и включила ссылки на соответствующие отчёты об ошибках (баг № 2039422 для CVE-2026-9308 и № 2036573 для CVE-2026-9309). Патч выпущен 1 июня 2026 года, и теперь все пользователи Firefox для iOS должны обновиться до версии 151.2.
С точки зрения техники атаки, интересен вектор через JSON-LD. Этот формат часто используется сайтами для передачи структурированных данных поисковым системам. Обычно браузеры обрабатывают его безопасно, но в режиме чтения Firefox на iOS забыли экранировать HTML-теги. Из-за этого специально сформированная страница подставляет в JSON-LD фрагменты кода, которые интерпретируются как разметка. В результате нарушается работа режима чтения, и злоумышленник получает контроль над тем, какие скрипты выполнятся.
Для специалистов по информационной безопасности это напоминание о том, что даже безобидные на первый взгляд функции вроде "читать позже" или "режим чтения" могут стать точкой входа. Особенно опасны ситуации, когда браузер динамически подставляет данные из внешнего источника во внутренний шаблон. Ошибка в порядке подстановки (CVE-2026-9308) - классический пример логической уязвимости.
Последствия для обычных пользователей менее драматичны, чем, например, уязвимости в операционной системе. Но всё же рекомендуется установить обновление как можно скорее. Для проверки версии нужно открыть настройки Firefox, перейти в раздел "О программе" и убедиться, что номер не ниже 151.2. Владельцам iPhone и iPad стоит также включить автоматические обновления приложений, чтобы не пропускать подобные патчи.
Mozilla уже опубликовала полное описание уязвимостей в своём бюллетене безопасности mfsa2026-53. Там же можно найти ссылки на репозиторий с кодом исправлений. Разработчикам сторонних браузеров на основе Firefox стоит проверить свои реализации режима чтения на аналогичные проблемы.
Таким образом, инцидент ещё раз подтверждает, что даже надёжные браузеры могут содержать критические ошибки. Пользователям iOS стоит уделить внимание обновлениям, а специалистам по безопасности - проанализировать механизмы подстановки контента в своих продуктах. Угроза удалённого выполнения кода остаётся одной из самых опасных, и любая ошибка в обработке данных может привести к компрометации.
Ссылки
- https://www.mozilla.org/en-US/security/advisories/mfsa2026-53/
- https://www.cve.org/CVERecord?id=CVE-2026-9308
- https://www.cve.org/CVERecord?id=CVE-2026-9309
