В ноябре 2020 года в движке JavaScript браузеров Firefox и Tor Browser была обнаружена критическая уязвимость. Она позволяла злоумышленникам выполнять вредоносный код на компьютере жертвы через обычный веб-сайт. Проблема была найдена во время международного конкурса по кибербезопасности Tianfu Cup, который проходил в Китае. Команда исследователей из Qihoo 360 продемонстрировала эксплуатацию уязвимости и получила за это 40 тысяч долларов. Общий призовой фонд конкурса составлял 1,2 миллиона долларов.
Проблема получила идентификатор CVE-2020-26950. Это была ошибка типа use-after-free в компоненте MCallGetProperty движка JavaScript. Простыми словами, браузер мог продолжать использовать уже освобождённую область памяти, что позволяло хакерам подменить данные и выполнить свой код. Разработчики Mozilla оперативно выпустили патчи. Уязвимость была исправлена в версиях Firefox 82.0.3, Firefox ESR 78.4.1 и Thunderbird 78.4.2. Команда Tor Browser также закрыла проблему в версии 10.0.4.
Разработчики Tails, операционной системы для анонимного серфинга, приняли нестандартное решение. Вместо экстренного обновления они порекомендовали пользователям временно изменить настройки безопасности в Tor Browser. Это объяснялось тремя причинами. Плановое обновление Tails 4.13 должно было выйти уже 17 ноября и включало исправление. Основной разработчик, отвечающий за релизы, недавно покинул команду, что создало нехватку ресурсов. Детали уязвимости не были публично раскрыты, что затрудняло её использование против реальных пользователей.
Уязвимость затрагивала только стандартный уровень безопасности Tor Browser. На уровнях «Более безопасный» и «Самый безопасный» JavaScript работает в урезанном режиме без JIT-компиляции, поэтому проблема не проявлялась. Пользователям рекомендовали временно повысить уровень безопасности, чтобы отключить уязвимую функцию. Однако в 2025 году была обнаружена проблема с ползунком безопасности в Tor Browser: настройки не вступали в силу до перезапуска браузера. Это означало, что даже после повышения уровня безопасности уязвимые функции могли оставаться активными до перезагрузки.
В феврале 2026 года была обнаружена новая уязвимость CVE-2026-2783 в движке JIT-компиляции Firefox, которая затрагивала версии до 148 и Firefox ESR до 140.8. Она позволяла раскрывать информацию через неправильную компиляцию кода. Эта история показывает, как быстро распространяются критические уязвимости и насколько важно своевременно обновлять программное обеспечение. Современные браузеры становятся всё более защищёнными, но разработчики постоянно находят новые проблемы. Главное, помнить о настройках безопасности и вовремя устанавливать обновления. Будьте осторожны и не забывайте перезапускать браузер после изменения настроек. Это может спасти вас от неприятностей. Ваша безопасность в ваших руках. Берегите себя и свои данные. Удачи.
Проблема получила идентификатор CVE-2020-26950. Это была ошибка типа use-after-free в компоненте MCallGetProperty движка JavaScript. Простыми словами, браузер мог продолжать использовать уже освобождённую область памяти, что позволяло хакерам подменить данные и выполнить свой код. Разработчики Mozilla оперативно выпустили патчи. Уязвимость была исправлена в версиях Firefox 82.0.3, Firefox ESR 78.4.1 и Thunderbird 78.4.2. Команда Tor Browser также закрыла проблему в версии 10.0.4.
Разработчики Tails, операционной системы для анонимного серфинга, приняли нестандартное решение. Вместо экстренного обновления они порекомендовали пользователям временно изменить настройки безопасности в Tor Browser. Это объяснялось тремя причинами. Плановое обновление Tails 4.13 должно было выйти уже 17 ноября и включало исправление. Основной разработчик, отвечающий за релизы, недавно покинул команду, что создало нехватку ресурсов. Детали уязвимости не были публично раскрыты, что затрудняло её использование против реальных пользователей.
Уязвимость затрагивала только стандартный уровень безопасности Tor Browser. На уровнях «Более безопасный» и «Самый безопасный» JavaScript работает в урезанном режиме без JIT-компиляции, поэтому проблема не проявлялась. Пользователям рекомендовали временно повысить уровень безопасности, чтобы отключить уязвимую функцию. Однако в 2025 году была обнаружена проблема с ползунком безопасности в Tor Browser: настройки не вступали в силу до перезапуска браузера. Это означало, что даже после повышения уровня безопасности уязвимые функции могли оставаться активными до перезагрузки.
В феврале 2026 года была обнаружена новая уязвимость CVE-2026-2783 в движке JIT-компиляции Firefox, которая затрагивала версии до 148 и Firefox ESR до 140.8. Она позволяла раскрывать информацию через неправильную компиляцию кода. Эта история показывает, как быстро распространяются критические уязвимости и насколько важно своевременно обновлять программное обеспечение. Современные браузеры становятся всё более защищёнными, но разработчики постоянно находят новые проблемы. Главное, помнить о настройках безопасности и вовремя устанавливать обновления. Будьте осторожны и не забывайте перезапускать браузер после изменения настроек. Это может спасти вас от неприятностей. Ваша безопасность в ваших руках. Берегите себя и свои данные. Удачи.