CRITICAL🇬🇧 English

CVE-2026-4729

Błędy bezpieczeństwa pamięci w Mozilla Firefox 148 i Thunderbird 148

CVSS 9.8v3.1pub. 2026-03-24upd. 2026-06-30

W przeglądarkach Mozilla Firefox 148 oraz kliencie pocztowym Mozilla Thunderbird 148 wykryto błędy bezpieczeństwa pamięci (CWE-120 — buffer overflow). Część z nich wykazuje oznaki uszkodzenia pamięci, co może umożliwić wykonanie dowolnego kodu przez atakującego.

Pokaż oryginał (EN)

Memory safety bugs present in Firefox 148 and Thunderbird 148. Some of these bugs showed evidence of memory corruption and we presume that with enough effort some of these could have been exploited to run arbitrary code. This vulnerability was fixed in Firefox 149 and Thunderbird 149.

🤖 Analiza AI
Jak działa

Podatność wynika z obecności błędów związanych z nieprawidłowym zarządzaniem pamięcią, w tym przepełnienia bufora. Niektóre z wykrytych błędów pozostawiają ślady wskazujące na faktyczne uszkodzenie pamięci procesu. Według oceny Mozilla, przy wystarczającym nakładzie pracy błędy te mogłyby zostać wykorzystane do uruchomienia dowolnego kodu w kontekście podatnej aplikacji.

Skutki

Atakujący może doprowadzić do wykonania dowolnego kodu (RCE) na systemie ofiary, co może skutkować pełnym przejęciem kontroli nad aplikacją lub systemem. Ze względu na wektor sieciowy (AV:N) i brak wymaganych uprawnień (PR:N, UI:N) atak może zostać przeprowadzony zdalnie, bez interakcji użytkownika.

Mitygacja

Należy zaktualizować Mozilla Firefox do wersji 149 oraz Mozilla Thunderbird do wersji 149, w których podatność została naprawiona. Szczegóły dostępne w poradnikach bezpieczeństwa Mozilla: mfsa2026-20 oraz mfsa2026-23.

Kogo dotyczy

Mozilla Firefox 148 oraz Mozilla Thunderbird 148

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
  • Mozilla Firefox

    APP
    Mozilla
    < 149.0
  • Mozilla Thunderbird

    APP
    Mozilla
    < 149.0
🔵
ZWERYFIKUJ U PRODUCENTA
Brak jednoznacznych danych o patchu. Sprawdź referencje od producenta.
CWE
Referencje

Powiązane podatności

CVE-2024-9680CRITICAL9.8⚠ KEVPL ✓ten sam produkt

Use-after-free w Animation timelines Firefox/Thunderbird — RCE

CVE-2022-26486CRITICAL9.6⚠ KEVten sam produkt

An unexpected message in the WebGPU IPC framework could lead to a use-after-free and exploitable sandbox escap...

CVE-2019-11708CRITICAL10.0⚠ KEVten sam produkt

Insufficient vetting of parameters passed with the Prompt:Open IPC message between child and parent processes ...

CVE-2010-3765CRITICAL9.8⚠ KEVten sam produkt

Mozilla Firefox 3.5.x through 3.5.14 and 3.6.x through 3.6.11, Thunderbird 3.1.6 before 3.1.6 and 3.0.x before...

CVE-2026-14241CRITICAL9.8ten sam produkt

Memory safety bugs present in Firefox 152.0.3. Some of these bugs showed evidence of memory corruption and we ...