Работает даже при белом списке
Image

Думаешь, тебя это не коснётся? Каждый может стать целью. Узнай, как защититься.

31 уязвимость и риск потери файлов. Вот, чем грозит решение отложить установку обновления Firefox

leer en español

4493
Mozilla Firefox Firefox Focus Дайсукэ Хатакэяма Mozilla Fuzzing Team уязвимости песочница
31 уязвимость и риск потери файлов. Вот, чем грозит решение отложить установку обновления Firefox
Mozilla Firefox Firefox Focus Дайсукэ Хатакэяма Mozilla Fuzzing Team уязвимости песочница

Mozilla закрыла проблемы, которые слишком легко недооценить по сухому описанию.

image

Mozilla закрыла в Firefox 151 крупный набор уязвимостей, среди которых есть ошибки с высокой оценкой. Часть проблем затрагивает изоляцию процессов, обработку веб-контента и механизмы памяти, поэтому обновление браузера лучше не откладывать.

Mozilla Foundation выпустила бюллетень безопасности 2026-46 от 19 мая 2026 года. В нём перечислены 31 уязвимость, исправленная в Firefox 151. Четыре проблемы получили высокий уровень опасности отдельно, ещё две группы ошибок памяти также оценены как серьёзные.

Самая заметная уязвимость, CVE-2026-8945, позволяла выйти за пределы песочницы в Firefox и Firefox Focus для Android. О проблеме сообщил Дайсукэ Хатакэяма. Ещё одна серьёзная ошибка, CVE-2026-8948, затрагивала компонент DOM: Networking и могла привести к обходу политики одного источника. Такой механизм защищает сайты от доступа к данным друг друга, поэтому сбой в его работе создаёт риск для конфиденциальности.

Обновление Firefox также закрыло CVE-2026-8946 в компоненте Audio/Video: Web Codecs и CVE-2026-8947 в DOM: Bindings. Первая связана с неверной проверкой границ, вторая с обращением к уже освобождённой памяти. Такие ошибки часто требуют сложной эксплуатации, но при удачном сценарии могут помочь атакующему нарушить работу браузера или выполнить нежелательные действия.

В бюллетень вошли и уязвимости среднего уровня опасности. Среди них повышение привилегий в механизме обновления приложений, DOM: Workers и Enterprise Policies, утечки данных и выход за пределы песочницы в Security: Process Sandboxing, а также проблемы в Networking: HTTP, Networking: JAR, Widget: Win32 и компонентах Audio/Video. Отдельно Mozilla исправила проблему подмены интерфейса в панели инструментов Firefox для Android.

Ошибки низкого уровня затронули WebExtensions, Form Autofill, Web Speech, Popup Blocker, IP Protection, WebGPU, WebRTC и ряд защитных механизмов DOM. Многие из них связаны с подменой элементов интерфейса, раскрытием данных, обходом защит или повышением привилегий в отдельных подсистемах.

Отдельное место в бюллетене занимают ошибки безопасности памяти. Mozilla указала, что в Firefox 150, Firefox ESR 140.10 и Firefox ESR 115.35 присутствовали дефекты, по которым были признаки повреждения памяти. По оценке разработчиков, при достаточных усилиях часть таких проблем могла бы привести к выполнению произвольного кода. Исправления вошли в Firefox 151, Firefox ESR 140.11 и Firefox ESR 115.36.