CRITICAL🇬🇧 English

CVE-2026-5735

Błędy bezpieczeństwa pamięci w Firefox i Thunderbird 149.0.1 (RCE)

CVSS 9.8v3.1pub. 2026-04-07upd. 2026-06-30

W przeglądarkach Mozilla Firefox 149.0.1 oraz kliencie pocztowym Mozilla Thunderbird 149.0.1 wykryto błędy bezpieczeństwa pamięci (CWE-787 — zapis poza granicami bufora), z których część wykazuje ślady korupcji pamięci. Podatność jest krytyczna, ponieważ może umożliwić atakującemu zdalne wykonanie dowolnego kodu bez jakiejkolwiek interakcji czy uprawnień po stronie ofiary.

Pokaż oryginał (EN)

Memory safety bugs present in Firefox 149.0.1 and Thunderbird 149.0.1. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability was fixed in Firefox 149.0.2 and Thunderbird 149.0.2.

🤖 Analiza AI
Jak działa

Podatność wynika z błędów typu out-of-bounds write w zarządzaniu pamięcią przez silnik przeglądarki/klienta pocztowego. Niektóre z wykrytych błędów prowadziły do korupcji pamięci procesu, co stwarza podstawy do ich wykorzystania w celu przejęcia kontroli nad przepływem wykonania programu. Atakujący może dostarczyć specjalnie spreparowaną zawartość (np. stronę internetową lub wiadomość e-mail), która wyzwoli podatny kod bez potrzeby uwierzytelnienia lub interakcji użytkownika.

Skutki

Skuteczne wykorzystanie podatności może pozwolić atakującemu na zdalne wykonanie dowolnego kodu (RCE) w kontekście procesu Firefox lub Thunderbird, co może prowadzić do pełnego przejęcia sesji użytkownika, wycieku danych lub instalacji złośliwego oprogramowania.

Mitygacja

Należy niezwłocznie zaktualizować Mozilla Firefox do wersji 149.0.2 lub nowszej oraz Mozilla Thunderbird do wersji 149.0.2 lub nowszej. Patche są dostępne poprzez mechanizm automatycznej aktualizacji lub bezpośrednio na stronach producenta wskazanych w referencjach.

Kogo dotyczy

Mozilla Firefox 149.0.1 oraz Mozilla Thunderbird 149.0.1

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 149.0.2
  • Mozilla Thunderbird

    APP
    Mozilla
    < 149.0.2
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...