Firefox, Chrome, Adobe и VMware закрыли волну критических уязвимостей — эксплойты уже в сети

Изображение: Arkan Perdana (unsplash)
Mozilla, Google, Adobe и Broadcom одновременно выкатили патчи, закрывающие десятки серьёзных проблем в браузерах, серверных платформах и корпоративной инфраструктуре. Речь идёт об удалённом выполнении кода, обходе аутентификации, повышении привилегий и повреждении памяти. Для двух дыр в Firefox рабочий эксплойт уже опубликован, и это напрямую касается российских пользователей и компаний.
Mozilla починила две критические ошибки в Firefox, оба фикса вошли в версию 152.0.6. Первая — CVE-2026-15718 в компоненте JavaScript WebAssembly. Некорректный указатель приводит к обращению в чужую область памяти, а дальше атакующий ломает браузер или запускает свой код. Достаточно открыть подготовленную страницу — остальное сделает вредоносное содержимое сайта. Вторая — CVE-2026-15719, она бьёт по механизму изоляции сайтов в DOM Navigation. Вредоносная вкладка получает шанс дотянуться до данных соседнего домена, элементов страниц и сведений об активной сессии.
Отмечается, что публичный код эксплойта резко сокращает время на реакцию — злоумышленникам не нужно самим разбирать патч, часть работы за них уже сделана.
Что нужно знать пользователям Firefox:
- версия 152.0.6 закрывает обе критические ошибки;
- обновление обычно ставится автоматически, но требует перезапуска;
- публичный эксплойт повышает риск массовых атак раньше окончания корпоративного цикла тестирования;
- подтверждённых атак пока нет, но временной запас минимален.
Google выпустила Chrome с исправлением 15 уязвимостей. Две критические — CVE-2026-15764 и CVE-2026-15765 — это ошибки use-after-free в межплатформенном компоненте Ozone, через который браузер общается с графической подсистемой Linux, ChromeOS и Fuchsia. Программа продолжает обращаться к объекту после того, как память под ним уже освобождена и передана другому. Атакующий подсовывает туда свои данные и заставляет процесс их обработать. Итог — повреждение кучи, падение процесса или запуск чужого кода.
По описанию CVE-2026-15764, уязвим Chrome под Linux до 150.0.7871.125. Для срабатывания требуется взаимодействие пользователя с подготовленной HTML-страницей — клик по кнопке, перетаскивание элемента, закрытие рекламного окна. Фишинг легко маскирует такое действие под проверку возраста или капчу.
Патчи вошли в Chrome 150.0.7871.124 и 150.0.7871.125 для Windows и macOS, для Linux — 150.0.7871.124. Расхождение в последней цифре связано с логистикой сборок, а не с неполной защитой. Российским компаниям, где сотрудники неделями держат десятки вкладок и откладывают перезапуск, стоит завести жёсткий регламент — установленный пакет без перезапуска браузер не активирует.
Adobe закрыла 88 проблем в ColdFusion, Commerce, Magento Open Source, Experience Manager и Illustrator. По ColdFusion — восемь критических:
- CVE-2026-48318, 9,9 балла, path traversal с выполнением произвольного кода;
- CVE-2026-48322, 9,6 балла, внедрение кода;
- CVE-2026-48284, 9,6 балла, слабая валидация ввода;
- CVE-2026-48321, 9,3 балла, ошибка авторизации и повышение привилегий;
- CVE-2026-48325, 9,3 балла, отсутствие проверки личности при вызове критической функции;
- CVE-2026-48319, 9,1 балла, ещё один обход путей с RCE;
- CVE-2026-48324, 9,1 балла, SQL-инъекция;
- CVE-2026-48327, 9,0 балла, ошибка авторизации с RCE.
Все проблемы закрыты в ColdFusion 2025 Update 11 и ColdFusion 2023 Update 22. В Commerce и Magento Open Source — две критические. CVE-2026-48356 (9,6 балла) — небезопасная загрузка файлов с повышением привилегий, риск для магазинов с данными покупателей, заказами и платёжными интеграциями. CVE-2026-48358 (9,1 балла) — некорректное экранирование вывода с возможностью выполнения кода. В Experience Manager — CVE-2026-48259 (9,6 балла, SSRF с RCE) и CVE-2026-48359 (9,6 балла, XXE). SSRF заставляет сервер стучаться туда, куда хочет атакующий — облачные метаданные, внутренние API, панели администрирования. XXE через внешние сущности XML читает локальные файлы и утекает данные наружу.
Стоит обратить внимание, что после релиза патчей злоумышленники применяют patch diffing — сравнивают старую и новую версии, находят изменённые функции и восстанавливают детали дыры. Современные инструменты и ИИ сокращают этот путь до нескольких часов.
Broadcom починила CVE-2026-47865 (9,8 балла) в VMware Avi Load Balancer. Обход аутентификации даёт сетевой доступ к плоскости управления балансировщиком — без учётной записи. Дальше атакующий меняет маршрутизацию, перехватывает соединения, ломает сервисы. Уязвимость нашёл Филип Вайтенс из Центра кибербезопасности НАТО.
Для российских пользователей и организаций опасность прямая. Firefox и Chrome массово стоят на домашних машинах и корпоративных рабочих станциях, а публичный эксплойт под Firefox сработает независимо от географии. Adobe Commerce и Magento держат под собой значительную часть российского e-commerce. ColdFusion применяется в банковских и госпорталах. Балансировщики VMware Avi стоят в дата-центрах крупных операторов и провайдеров услуг.
Что делать прямо сейчас:
- поставить Firefox 152.0.6 и перезапустить браузер;
- обновить Chrome до 150.0.7871.124/125 и проверить активную версию процесса;
- применить ColdFusion 2025 Update 11 или 2023 Update 22;
- накатить фиксы Commerce, Magento Open Source и Experience Manager;
- обновить VMware Avi и ограничить доступ к панели управления VPN и белому списку.
После установки патчей одного факта обновления недостаточно. Если сервер уже был скомпрометирован, вредоносный компонент продолжит работать. В Magento ищутся незнакомые модули, изменённые шаблоны и подозрительные загрузки. В ColdFusion — новые файлы в веб-каталогах, странные процессы, исходящие соединения. В Experience Manager — обращения к внутренним адресам и обработка чужих XML. В Avi Load Balancer — правки виртуальных сервисов, сертификатов, пользователей и сетевых политик.
По мнению редакции CISOCLUB, нынешний выпуск примечателен размахом — обновления одновременно накрывают браузеры, e-commerce, серверные приложения и сетевую инфраструктуру. Российским командам безопасности мы советуем не растягивать патчинг на недели. Публичный эксплойт для Firefox — это готовый инструмент, который завтра появится в фишинговых кампаниях против отечественных пользователей. Adobe и VMware в России используются широко, а сроки поставки альтернатив и параллельного импорта делают простой сервера ещё дороже. Инвентаризация, приоритет по внешней доступности и разбор журналов после патча — минимальный набор действий на ближайшие сутки.



