Η Mozilla κυκλοφόρησε τον Firefox 147 στις 13 Ιανουαρίου 2026, αντιμετωπίζοντας 16 τρωτά σημεία ασφαλείας που περιγράφονται στη Συμβουλευτική Ασφάλεια του Ιδρύματος Mozilla.
Η ενημέρωση διορθώνει κρίσιμα ζητήματα σε στοιχεία όπως γραφικά, JavaScript και δικτύωση, αντιμετωπίζοντας έξι ελαττώματα υψηλού αντίκτυπου, συμπεριλαμβανομένων πολλαπλών διαφυγών sandbox, τα οποία θα μπορούσαν να επιτρέψουν την αυθαίρετη εκτέλεση κώδικα εάν γίνει εκμετάλλευση.
Αυτές οι επιδιορθώσεις ισχύουν επίσης για το Firefox ESR 140.7 και το Thunderbird ESR 140.7/147, παροτρύνοντας τους χρήστες να ενημερώνονται αμέσως εν μέσω αυξανόμενων επιθέσεων με στόχευση προγράμματος περιήγησης.
Η έκδοση αντιμετωπίζει εξελιγμένες απειλές που αποκαλύπτονται μέσω αναφορών σφαλμάτων και ασάφειας. Κυριαρχούν τα τρωτά σημεία υψηλής σοβαρότητας, ιδιαίτερα οι διαφυγές sandbox σε συστήματα γραφικών και μηνυμάτων, που αναφέρθηκαν σε μεγάλο βαθμό από τον ερευνητή Oskar L.
Σφάλματα ασφάλειας μνήμης στα CVE-2026-0891 και CVE-2026-0892 έδειξαν στοιχεία φθοράς και είναι πιθανό να τα εκμεταλλευτούμε με προσπάθεια. Δεν έχει επιβεβαιωθεί καμία ενεργή εκμετάλλευση, αλλά το σύμπλεγμα ελαττωμάτων γραφικών υπογραμμίζει τους συνεχείς κινδύνους στην απόδοση WebGL και Canvas.
Διαφυγές Sandbox υψηλών επιπτώσεων και καταστροφή μνήμης
Πολλά τρωτά σημεία ενεργοποιούν sandbox δραπετεύει, παραβιάζοντας τους μηχανισμούς απομόνωσης του Firefox. Το CVE-2026-0877 επιτρέπει την παράκαμψη μετριασμού DOM, ενώ το CVE-2026-0878 έως το CVE-2026-0880 εκμεταλλεύεται οριακές συνθήκες και υπερχειλίσεις ακεραίων στα Graphics και στο CanvasWebGL.
Το CVE-2026-0881 στοχεύει το Σύστημα Μηνυμάτων. Η χρήση μετά τη δωρεάν σε IPC (CVE-2026-0882) προσθέτει στον απολογισμό. Αυτά τα ζητήματα υψηλού αντίκτυπου, που διορθώθηκαν στην έκδοση 147, θα μπορούσαν να επιτρέψουν στους εισβολείς να εκτελούν κώδικα έξω από περιβάλλοντα sandbox.
| Αναγνωριστικό CVE | Περιγραφή/Στοιχείο | Σύγκρουση | Δημοσιογράφος |
|---|---|---|---|
| CVE-2026-0877 | Παράκαμψη μετριασμού στο DOM: Στοιχείο ασφαλείας | Ψηλά | mingijung |
| CVE-2026-0878 | Διαφυγή Sandbox λόγω εσφαλμένων συνοριακών συνθηκών στο στοιχείο Graphics: CanvasWebGL | Ψηλά | Όσκαρ Λ |
| CVE-2026-0879 | Διαφυγή Sandbox λόγω εσφαλμένων συνοριακών συνθηκών στο στοιχείο Graphics | Ψηλά | Όσκαρ Λ |
| CVE-2026-0880 | Διαφυγή Sandbox λόγω υπερχείλισης ακεραίων στο στοιχείο Graphics | Ψηλά | Όσκαρ Λ |
| CVE-2026-0881 | Escape Sandbox στο στοιχείο System Messaging | Ψηλά | Άντριου ΜακΚρέιτ |
| CVE-2026-0882 | Χρήση-μετά-δωρεάν στο στοιχείο IPC | Ψηλά | Ράντελ Τζέσαπ |
| CVE-2026-0883 | Αποκάλυψη πληροφοριών στο στοιχείο Δικτύωση | Μέτριος | Βλάντισλαβ Πλιάτσοκ |
| CVE-2026-0884 | Χρήση-μετά-δωρεάν στο στοιχείο JavaScript Engine | Μέτριος | Gary Kwong και Nan Wang |
| CVE-2026-0885 | Χρήση-μετά-δωρεάν στο στοιχείο JavaScript: GC | Μέτριος | Irvan Kurniawan |
| CVE-2026-0886 | Εσφαλμένες οριακές συνθήκες στο στοιχείο Γραφικών | Μέτριος | Όσκαρ Λ |
| CVE-2026-0887 | Πρόβλημα clickjacking, αποκάλυψη πληροφοριών στο στοιχείο PDF Viewer | Μέτριος | Lyra Rebane |
| CVE-2026-0888 | Αποκάλυψη πληροφοριών στο στοιχείο XML | Χαμηλός | Pier Angelo Vendrame |
| CVE-2026-0889 | Denial-of-service στο στοιχείο DOM: Service Workers | Χαμηλός | Elysee Francchuk, Caleb Lerch |
| CVE-2026-0890 | Πρόβλημα πλαστογράφησης στο στοιχείο DOM: Αντιγραφή και επικόλληση και μεταφορά και απόθεση | Χαμηλός | Έντγκαρ Τσεν |
| CVE-2026-0891 | Διορθώθηκαν σφάλματα ασφάλειας μνήμης σε Firefox ESR 140.7, Thunderbird ESR 140.7, Firefox 147 και Thunderbird 147 | Ψηλά | Ο Andrew McCreight, ο Dennis Jackson και η Mozilla Fuzzing Team |
Η ομάδα fuzzing της Mozilla εντόπισε σφάλματα ασφάλειας μνήμης που διορθώθηκαν στο CVE-2026-0891 (επηρεάζουν τα ESR 140.6, Firefox 146, Thunderbird 146) και CVE-2026-0892 (Firefox/Thunderbird 146). Σφάλματα όπως το 1964722 και το 2004443 εμφάνισαν μοτίβα διαφθοράς ώριμα για εκμετάλλευση.
Οι οργανισμοί θα πρέπει δώστε προτεραιότητα στις ενημερώσεις μέσω του προγράμματος αυτόματης ενημέρωσης ή των κονσολών διαχειριστή του Firefox.
