CRITICAL🇬🇧 English

CVE-2026-4724

Niezdefiniowane zachowanie w komponencie Audio/Video Mozilla Firefox i Thunderbird

CVSS 9.1v3.1pub. 2026-03-24upd. 2026-04-13

Podatność klasy CWE-758 (undefined behavior) w komponencie Audio/Video przeglądarki Firefox oraz klienta pocztowego Thunderbird umożliwia zdalnym atakującym naruszenie poufności i integralności danych bez jakiejkolwiek autoryzacji. Ocena CVSS 9.1 (Critical) wskazuje na wysoką krytyczność zagrożenia.

Pokaż oryginał (EN)

Undefined behavior in the Audio/Video component. This vulnerability was fixed in Firefox 149 and Thunderbird 149.

🤖 Analiza AI
Jak działa

Błąd polega na niezdefiniowanym zachowaniu (undefined behavior) w module odpowiedzialnym za obsługę treści audio i wideo. Niezdefiniowane zachowanie oznacza, że kod wykonuje operacje, których skutki nie są określone przez specyfikację języka lub platformy, co może prowadzić do przewidywalnych lub kontrolowalnych przez atakującego konsekwencji. Atakujący może potencjalnie wywołać ten błąd poprzez spreparowaną treść multimedialną dostarczaną zdalnie, bez konieczności interakcji użytkownika ani posiadania uprawnień.

Skutki

Atakujący może uzyskać nieautoryzowany dostęp do poufnych danych przetwarzanych przez aplikację (wysoka utrata poufności) oraz doprowadzić do modyfikacji danych lub pamięci procesu (wysoka utrata integralności). Atak możliwy jest zdalnie, bez uwierzytelnienia i bez interakcji użytkownika.

Mitygacja

Należy niezwłocznie zaktualizować Mozilla Firefox do wersji 149 lub nowszej oraz Mozilla Thunderbird do wersji 149 lub nowszej. Szczegóły poprawek dostępne są w poradnikach bezpieczeństwa producenta: mfsa2026-20 (Firefox) i mfsa2026-23 (Thunderbird).

Kogo dotyczy

Mozilla Firefox w wersjach poprzedzających 149 oraz Mozilla Thunderbird w wersjach poprzedzających 149.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
  • Mozilla Firefox

    APP
    Mozilla
    < 149.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 149.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...