[TLP:CLEAR] Mozilla Firefox, Firefox ESR a Thunderbird opravují 5 zranitelností
Mozilla opravuje 5 zranitelností v různých produktech [1]. Produkty a jejich opravené verze: Firefox - 149.0.2 [2] Firefox ESR - 115.34.1 [3], 140.9.1 [4] Thunderbird - 149.0.2 [5], 140.9.1 [6] Z operačních systémů zranitelnosti CVE-2026-5731, CVE-2026-5732 a CVE-2026-5734 opravily například Debian [7] a Slackware [8]. Vydání a opravené verze Debianu: bookworm - 140.9.1esr-1~deb12u1 trixie - 140.9.1esr-1~deb13u1
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu memory corruption umožněno spustit libovolný kód [9][10].
Zranitelnost se nachází v produktech:
- Firefox ve verzích <149.0.2
- Firefox ESR ve verzích (<115.34.1) OR (<140.9.1)
- Thunderbird ve verzích (<149.0.2) OR (<140.9.1)
- Thunderbird ESR
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-5731 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CVE-2026-5735 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 4. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli zranitelnosti typu memory corruption umožněno spustit libovolný kód [11].
Zranitelnost se nachází v produktech:
- Firefox ve verzích <149.0.2
- Firefox ESR ve verzích <140.9.1
- Thunderbird ve verzích (<149.0.2) OR (<140.9.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-5734 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-787: Out-of-bounds Write at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 4. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli chybnému ošetření hraničních podmínek v komponentě Graphics: WebGPU umožněno narušit integritu paměti [12].
Zranitelnost se nachází v produktech:
- Firefox ve verzích <149.0.2
- Thunderbird ve verzích <149.0.2
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-5733 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 4. 2026.
Neautentizovanému vzdálenému útočníkovi je kvůli chybnému ošetření hraničních podmínek vedoucímu k celočíselnému přetečení v komponentě Graphics: Text umožněno narušit integritu paměti [13].
Zranitelnost se nachází v produktech:
- Firefox ve verzích <149.0.2
- Firefox ESR ve verzích <140.9.1
- Thunderbird ve verzích (<149.0.2) OR (<140.9.1)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-5732 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-190: Integer Overflow or Wraparound at cwe.mitre.org
Zranitelnost byla veřejně oznámena 7. 4. 2026.
Odkazy
- [1] https://www.mozilla.org/en-US/security/advisories/
- [2] https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/
- [3] https://www.mozilla.org/en-US/security/advisories/mfsa2026-26/
- [4] https://www.mozilla.org/en-US/security/advisories/mfsa2026-27/
- [5] https://www.mozilla.org/en-US/security/advisories/mfsa2026-28/
- [6] https://www.mozilla.org/en-US/security/advisories/mfsa2026-29/
- [7] https://lists.debian.org/debian-security-announce/2026/msg00112.html
- [8] https://mirrors.slackware.com/slackware/slackware64-15.0/ChangeLog.txt#src=feeds&time=1775687188
- [9] https://nvd.nist.gov/vuln/detail/CVE-2026-5731
- [10] https://nvd.nist.gov/vuln/detail/CVE-2026-5735
- [11] https://nvd.nist.gov/vuln/detail/CVE-2026-5734
- [12] https://nvd.nist.gov/vuln/detail/CVE-2026-5733
- [13] https://nvd.nist.gov/vuln/detail/CVE-2026-5732
Za CESNET-CERTS Michaela Jarošová dne 9. 4. 2026.
