[TLP:CLEAR] Mozilla Firefox, Firefox ESR a Thunderbird opravujú 36 zraniteľností
Mozilla opravuje 36 zraniteľností v rôznych produktoch. Najzávažnejšie zraniteľnosti sú uvedené nižšie. Jednotlivé produkty a ich opravené verzie: Firefox - 151 [1] Firefox ESR - 140.11, 115.36 [2][3] Firefox for iOS - 151, 151.1 [4][5] Thunderbird - 151 [6] Thunderbird ESR - 140.11 [7]
Neautentizovanému vzdialenému útočníkovi je v prehliadačoch Firefox, Firefox ESR a v poštovom klientovi Thunderbird pri spracovaní zvukového a obrazového obsahu v dôsledku nesprávneho overenia hraníc vyhradeného pamäťového bufferu umožnené zapisovať mimo neho [2][3][4][5][6].
Zraniteľnosť sa nachádza v produktoch:
- Mozilla Thunderbird vo verziách <151
- Mozilla Firefox ESR vo verziách (>=115 AND <115.36) OR (>=140 AND <140.11)
- Mozilla Firefox vo verziách <151
- Mozilla Thunderbird ESR vo verziách >=140 AND <140.11
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N
Viac informácií:
- CVE-2026-8946 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 5. 2026.
Neautentizovanému vzdialenému útočníkovi je v prehliadačoch Firefox, Firefox ESR a v poštovom klientovi Thunderbird umožnené pristúpiť k už uvoľnenej pamäti, čo môže spôsobiť chybu pri spracovaní dát a následný pád aplikácie [2][3][4][5][6].
Zraniteľnosť sa nachádza v produktoch:
- Mozilla Thunderbird vo verziách <151
- Mozilla Firefox ESR vo verziách (>=115 AND <115.36) OR (>=140 AND <140.11)
- Mozilla Firefox vo verziách <151
- Mozilla Thunderbird ESR vo verziách >=140 AND <140.11
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L
Viac informácií:
- CVE-2026-8947 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 5. 2026.
Neautentizovanému vzdialenému útočníkovi je v prehliadačoch Firefox, Firefox ESR a v poštovom klientovi Thunderbird umožnené zápisom mimo vyhradenej oblasti pamäte spôsobiť jej poškodenie a spustiť ľubovoľný kód [2][3][4][5][6].
Zraniteľnosť sa nachádza v produktoch:
- Mozilla Thunderbird vo verziách <151
- Mozilla Firefox ESR vo verziách (>=115 AND <115.36) OR (>=140 AND <140.11)
- Mozilla Firefox vo verziách <151
- Mozilla Thunderbird ESR vo verziách >=140 AND <140.11
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Viac informácií:
- CVE-2026-8975 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 19. 5. 2026.
Odkazy
- [1] https://www.mozilla.org/en-US/security/advisories/mfsa2026-49/
- [2] https://www.mozilla.org/en-US/security/advisories/mfsa2026-46/
- [3] https://www.mozilla.org/en-US/security/advisories/mfsa2026-47/
- [4] https://www.mozilla.org/en-US/security/advisories/mfsa2026-48/
- [5] https://www.mozilla.org/en-US/security/advisories/mfsa2026-50/
- [6] https://www.mozilla.org/en-US/security/advisories/mfsa2026-51/
- [7] https://www.mozilla.org/en-US/security/advisories/mfsa2026-52/
Za CESNET-CERTS Henrieta Paločková dňa 29. 5. 2026.
