[TLP:CLEAR] Mozilla Firefox, Firefox ESR a Thunderbird opravují 1 zranitelnost
Mozilla opravuje vysoce závažnou zranitelnost ve svých produktech [1][2]. Jednotlivé opravené verze: Firefox - 147.0.4 [1] Firefox ESR - 140.7.1, 115.32.1 [1] Thunderbird - 147.0.2, 140.7.2 [2] Z operačních systémů zranitelnost opravily například Debian [3] a Ubuntu [4] v balíčku libvpx. Vydání a opravené verze Debianu: bullseye - 1.9.0-1+deb11u5, bookworm - 1.12.0-1+deb12u5 trixie - 1.15.0-2.1+deb13u1 Vydání a opravené verze Ubuntu: questing - 1.15.0-2.1ubuntu0.1 noble - 1.14.0-1ubuntu2.3 jammy - 1.11.0-2ubuntu2.5
Neautentizovanému vzdálenému útočníkovi je kvůli přetečení bufferu v knihovně libvpx pro práci s video kodeky VP8 a VP9 umožněno pomocí speciálně vytvořeného obsahu za určitých podmínek spustit kód nebo vykonat útok DoS [1][2][5].
Zranitelnost se nachází v produktech:
- Firefox ve verzích <147.0.4
- Firefox ESR ve verzích (<115.32.1) OR (>=140 AND <140.7.1)
- Thunderbird ve verzích (<140.7.2) OR (>=147 AND <147.0.2)
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H
Více informací:
- CVE-2026-2447 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 16. 2. 2026.
Odkazy
- [1] https://www.mozilla.org/en-US/security/advisories/mfsa2026-10/
- [2] https://www.mozilla.org/en-US/security/advisories/mfsa2026-11/
- [3] https://security-tracker.debian.org/tracker/CVE-2026-2447
- [4] https://ubuntu.com/security/CVE-2026-2447
- [5] https://lists.debian.org/debian-lts-announce/2026/02/msg00028.html
Za CESNET-CERTS Michaela Ručková dne 24. 2. 2026.
