CRITICAL🇬🇧 English

CVE-2026-0881

Sandbox escape w komponencie Messaging System — Mozilla Firefox i Thunderbird

CVSS 10.0v3.1pub. 2026-01-13upd. 2026-06-30

Podatność umożliwia ucieczkę z piaskownicy (sandbox escape) w komponencie Messaging System przeglądarki Firefox oraz klienta pocztowego Thunderbird. Zagrożenie jest krytyczne — atakujący może przejąć pełną kontrolę nad systemem ofiary bez jakiejkolwiek interakcji użytkownika i bez wymaganych uprawnień.

Pokaż oryginał (EN)

Sandbox escape in the Messaging System component. This vulnerability was fixed in Firefox 147 and Thunderbird 147.

🤖 Analiza AI
Jak działa

Błąd sklasyfikowany jako CWE-284 (nieprawidłowa kontrola dostępu) oraz CWE-693 (mechanizm ochronny pominięty lub obejście mechanizmu zabezpieczającego) wskazuje, że komponent Messaging System nie egzekwuje właściwie izolacji piaskownicy. Atakujący zdalnie, poprzez sieć, może wysłać specjalnie spreparowane dane do komponentu odpowiedzialnego za komunikację wewnętrzną przeglądarki/klienta pocztowego i w ten sposób wykonać kod poza środowiskiem piaskownicy, uzyskując dostęp do zasobów systemu operacyjnego.

Skutki

Skuteczne wykorzystanie podatności pozwala atakującemu na pełne naruszenie poufności, integralności i dostępności systemu — w tym zdalne wykonanie dowolnego kodu (RCE) z uprawnieniami procesu przeglądarki lub klienta pocztowego poza izolowaną piaskownicą. Zakres oddziaływania obejmuje zasoby wykraczające poza sam podatny komponent (CVSS Scope: Changed).

Mitygacja

Należy natychmiast zaktualizować Mozilla Firefox do wersji 147 lub nowszej oraz Mozilla Thunderbird do wersji 147 lub nowszej. Szczegółowe informacje dostępne w poradnikach bezpieczeństwa producenta: MFSA2026-01 oraz MFSA2026-04.

Kogo dotyczy

Mozilla Firefox w wersjach poprzedzających 147 oraz Mozilla Thunderbird w wersjach poprzedzających 147.

Uwagi

Podatność opublikowana 13 stycznia 2026 roku. Szczegóły techniczne dostępne w zgłoszeniu Bugzilla o numerze 2005845.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 147.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 147.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...