CRITICAL🇬🇧 English

CVE-2026-8091

Błędna walidacja granic w komponentach Audio/Video w Firefox i Thunderbird

CVSS 9.8v3.1pub. 2026-05-07upd. 2026-06-30

Podatność w komponencie Audio/Video: Playback w produktach Mozilla Firefox i Thunderbird polega na nieprawidłowej weryfikacji warunków granicznych (CWE-754), co może umożliwić atakującemu zdalne wykonanie kodu bez żadnej interakcji użytkownika. Ocena CVSS 9.8 (CRITICAL) wskazuje na wyjątkowo wysokie ryzyko dla organizacji korzystających z podatnych wersji.

Pokaż oryginał (EN)

Incorrect boundary conditions in the Audio/Video: Playback component. This vulnerability was fixed in Firefox 150, Thunderbird 150, Firefox ESR 140.10.1, Thunderbird 140.10.1, and Firefox ESR 115.35.2.

🤖 Analiza AI
Jak działa

Błąd wynika z braku właściwej kontroli warunków granicznych podczas przetwarzania danych audio/video (komponent Playback). Nieprawidłowe sprawdzanie zakresów danych wejściowych może prowadzić do nieprzewidzianego zachowania aplikacji, np. dostępu poza dozwolonym obszarem pamięci. Atak jest możliwy zdalnie, nie wymaga uwierzytelnienia ani interakcji ze strony użytkownika, co czyni go szczególnie niebezpiecznym.

Skutki

Atakujący może uzyskać pełną kontrolę nad poufnością, integralnością i dostępnością systemu, w tym potencjalnie wykonać dowolny kod w kontekście podatnej aplikacji. W najgorszym przypadku możliwe jest przejęcie kontroli nad systemem lub instalacja złośliwego oprogramowania.

Mitygacja

Należy jak najszybciej zaktualizować oprogramowanie do następujących wersji zawierających poprawkę: Firefox 150, Thunderbird 150, Firefox ESR 140.10.1, Thunderbird 140.10.1 oraz Firefox ESR 115.35.2. Patche dostępne są za pośrednictwem mechanizmu automatycznych aktualizacji Mozilla oraz na oficjalnych stronach producenta.

Kogo dotyczy

Mozilla Firefox w wersjach przed 150, Mozilla Firefox ESR w wersjach przed 140.10.1 oraz przed 115.35.2, Mozilla Thunderbird w wersjach przed 150 oraz przed 140.10.1

Uwagi

Podatność naprawiona jednocześnie w kilku gałęziach produktów Mozilla (Firefox, Firefox ESR, Thunderbird), co wskazuje na szerokie oddziaływanie błędu. Szczegóły techniczne dostępne w zgłoszeniu Bugzilla o numerze 2029301.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 115.35.2140.0 – 140.10.1 (bez)
  • Mozilla Thunderbird

    APP
    Mozilla
    140.0 – 140.10.1 (bez)
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...