[TLP:CLEAR] Mozilla Firefox, Firefox ESR a Thunderbird opravujú 41 zraniteľností
Mozilla opravuje 41 zraniteľností v rôznych produktoch. Najzávažnejšie z nich sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: Firefox - 150 [1] Firefox ESR - 140.10, 115.35 [2][3] Thunderbird - 150, 140.10 [4][5]
Neautentizovanému vzdialenému útočníkovi je v komponente na spracovanie DOM a HTML dokumentov umožnené pristúpiť k už uvoľnenej pamäti, čo môže spôsobiť chybu pri spracovaní dát a následný pád aplikácie [1][2][3][4][5].
Zraniteľnosť sa nachádza v produktoch:
- Firefox vo verziách < 150
- Firefox ESR vo verziách (>=115 AND < 115.35) OR (>=140 AND < 140.10)
- Thunderbird vo verziách (>=140 AND < 140.10) OR (< 150)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
Viac informácií:
- CVE-2026-6746 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 4. 2026.
Neautentizovanému vzdialenému útočníkovi je v komponente na spracovanie multimediálneho obsahu v dôsledku chyby pri spracovaní neinicializovanej pamäte umožnené spustiť kód [1][2][3][4][5].
Zraniteľnosť sa nachádza v produktoch:
- Firefox vo verziách < 150
- Firefox ESR vo verziách (>=115 AND < 115.35) OR (>=140 AND < 140.10)
- Thunderbird vo verziách (>=140 AND < 140.10) OR (< 150)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-6748 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-457: Use of Uninitialized Variable at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 4. 2026.
Neautentizovanému vzdialenému útočníkovi je v komponente na vykresľovanie webového obsahu umožnené neoprávnene zvýšiť svoje prístupové oprávnenia v systéme [1][2][3][4][5].
Zraniteľnosť sa nachádza v produktoch:
- Firefox vo verziách < 150
- Firefox ESR vo verziách (>=115 AND < 115.35) OR (>=140 AND < 140.10)
- Thunderbird vo verziách (>=140 AND < 140.10) OR (< 150)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-6750 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-269: Improper Privilege Management at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 21. 4. 2026.
Odkazy
- [1] https://www.mozilla.org/en-US/security/advisories/mfsa2026-30/
- [2] https://www.mozilla.org/en-US/security/advisories/mfsa2026-31/
- [3] https://www.mozilla.org/en-US/security/advisories/mfsa2026-32/
- [4] https://www.mozilla.org/en-US/security/advisories/mfsa2026-33/
- [5] https://www.mozilla.org/en-US/security/advisories/mfsa2026-34/
Za CESNET-CERTS Henrieta Paločková dňa 24. 4. 2026.
