194 новые уязвимости опубликованы 24 марта 2026 года. 112 затрагивают корпоративную и веб-инфраструктуру. Это максимум за текущий цикл мониторинга.
Главным событием дня стало предупреждение безопасности Mozilla (MFSA 2026-20). В Firefox 149 исправлено 42 уязвимости. Среди них шесть побегов из песочницы (sandbox escape), несколько цепочек use-after-free (обращение к освобождённой памяти) и ошибки в механизме JIT-компиляции. Два сводных отчёта о повреждении памяти получили пометку «высокая».
Читайте также: Обзор уязвимостей 23 марта: 13 ошибок AVideo за двое суток, jsrsasign позволяет восстановить закрытый ключ
Пять из 42 ошибок обнаружены с помощью ИИ Claude (разработка Anthropic). Google отдельно закрыл восемь опасных ошибок в Chrome 146.0.7680.165.
Firefox 149: Выход за пределы изолированной среды
Mozilla выпустила Firefox 149 с одним из крупнейших предупреждений безопасности за последние годы. Из 42 CVE не менее 16 получили оценку «высокая» от Mozilla.
Шесть ошибок позволяют выйти за границы песочницы. Это самый опасный класс ошибок в браузере: злоумышленник вырывается из изоляции и потенциально выполняет код на уровне операционной системы.
CVE-2026-4725 — use-after-free в компоненте Graphics: Canvas2D, обнаружена исследователем Цзюнь Яном (Jun Yang). CVE-2026-4688 — use-after-free в Disability Access APIs, затрагивает Firefox до версии 149 и ESR до 140.9. Ошибку обнаружил Саджеб Лохани (Sajeeb Lohani). CVE-2026-4687 и CVE-2026-4689 — ошибки проверки границ и целочисленные переполнения в компонентах Telemetry и XPCOM, обе обнаружены Саджебом Лохани. CVE-2026-4690 — целочисленное переполнение в XPCOM, тоже обнаружена Лохани. CVE-2026-4692 — побег из песочницы через Responsive Design Mode, обнаружена Томом Риттером (Tom Ritter).
Саджеб Лохани (Sajeeb Lohani) указан автором не менее 12 из 42 ошибок в этом предупреждении. Его находки затрагивают компоненты Graphics, Audio/Video, XPCOM, Telemetry и Canvas2D. Четыре из них ведут к побегу из песочницы.
Четыре дополнительных use-after-free исправлены за пределами класса побегов из песочницы. CVE-2026-4684 затрагивает Graphics: WebRender («высокая»). CVE-2026-4691 — CSS Parsing and Computation («высокая»). CVE-2026-4696 — Layout: Text and Fonts («высокая»). CVE-2026-4711 — Widget: Cocoa («средняя»).
CVE-2026-4698 («высокая») — ошибка JIT-компиляции в JavaScript Engine, найдена исследователем maxpl0it при участии Trend Micro Zero Day Initiative.
Читайте также: Обзор уязвимостей 21–22 марта: BACnet без шифрования и семь ошибок WordPress за четыре дня
Два сводных отчёта завершают список. CVE-2026-4720 («высокая») объединяет ошибки повреждения памяти в Firefox ESR 140.8, Thunderbird ESR 140.8, Firefox 148 и Thunderbird 148. Mozilla пишет: «Часть из этих ошибок демонстрировала признаки повреждения памяти. Мы полагаем, что при достаточных усилиях некоторые можно было бы использовать для выполнения произвольного кода». CVE-2026-4729 («высокая») содержит дополнительные исправления только для Firefox 149 и Thunderbird 149.
Пять ошибок Firefox нашёл ИИ-ассистент Claude от Anthropic
Пять CVE (а возможно, шесть, если считать CVE-2026-4718 с оценкой «низкая») в предупреждении MFSA 2026-20 обнаружены группой исследователей с помощью ИИ Claude от Anthropic. В группу входят Evyatar Ben Asher, Keane Lucas, Nicholas Carlini (Google DeepMind), Newton Cheng, Daniel Freeman, Alex Gaynor и Joel Weinberger.
CVE-2026-4702 — ошибка JIT-компиляции в JavaScript Engine («средняя»). CVE-2026-4723 — use-after-free в JavaScript Engine («средняя»). CVE-2026-4724 — неопределённое поведение в Audio/Video («средняя»). CVE-2026-4704 и CVE-2026-4705 затрагивают WebRTC: Signaling (отказ в обслуживании и неопределённое поведение, обе ошибки получили оценку «средняя»).
Читайте также: Российский хакер получил 6 лет и 9 месяцев за продажу доступа к сетям группировке Yanluowang
Раньше нейросети находили единичные ошибки. В ноябре 2024 года Google Project Zero и DeepMind с помощью проекта Big Sleep обнаружили переполнение буфера в SQLite. Firefox 149 стал первым крупным обновлением браузера, где ИИ-система нашла сразу пять и более ошибок. Ошибки затрагивают три разных компонента: JavaScript Engine, Audio/Video и WebRTC.
Пять ошибок в трёх компонентах Firefox за один цикл обновления, это уже не вопрос может ли ИИ находить уязвимости. Это вопрос масштаба. Исследователи, нашедшие эти ошибки с помощью Claude, работают на стороне защиты. Злоумышленники с доступом к тем же моделям работают на стороне атаки.
Chrome 146: восемь опасных ошибок
Google выпустила Chrome 146.0.7680.164/165 для Windows и macOS и 146.0.7680.164 для Linux 23–24 марта 2026 года. Исправлены восемь ошибок, все с оценкой «высокая» от Chromium.
CVE-2026-4676 (CVSS 8.8) — use-after-free в Dawn (реализация WebGPU), потенциальный побег из песочницы. CVE-2026-4678 (CVSS 8.8) — use-after-free в WebGPU, выполнение кода в изолированной среде. CVE-2026-4679 (CVSS 8.8) — целочисленное переполнение в Fonts, запись за границами выделенной памяти. CVE-2026-4680 (CVSS 8.8) — use-after-free в FedCM (Federated Credential Management, система управления учётными записями). CVE-2026-4675 (CVSS 8.8) — переполнение кучи в WebGL.
Читайте также: Хакеры атакуют пользователей Android через фальшивые приглашения в бета-версию ChatGPT
Двумя неделями ранее Google экстренно закрыла две 0-day ошибки Chrome (CVE-2026-3909 и CVE-2026-3910). Их нашли внутри компании вскоре после выхода Chrome 146 в стабильный канал. Обнаруженные внутри Google ошибки Chrome часто связаны с коммерческими производителями шпионского ПО.
Langflow: третья критическая уязвимость удалённого выполнения кода за неделю
24 марта опубликованы ещё две ошибки Langflow. CVE-2026-33309 (CVSS 9.9) и CVE-2026-33475 (CVSS 9.1) позволяют выполнить произвольный код на сервере.
Эти ошибки дополняют CVE-2026-33017 (CVSS 9.3), о которой мы писали 19 марта. За неделю (18–24 марта) Langflow получила три критические ошибки удалённого выполнения кода. Платформа с 145 000+ звёзд на GitHub используется для построения ИИ-агентов. Один и тот же подход повторяется во всех трёх случаях: непроверенный пользовательский ввод попадает в функцию exec() Python.
Прочие уязвимости
CVE-2025-71275 (CVSS 9.3) — внедрение команд в Zimbra Collaboration Suite (ZCS) 8.8.15 через сервис PostJournal, обрабатывающий входящую почту. ZCS 8.8.15 широко используется в корпоративных средах. PostJournal уже был целью атак: CVE-2024-45519 (RCE через тот же сервис) попала в каталог CISA KEV (Known Exploited Vulnerabilities, реестр активно используемых ошибок).
CVE-2026-33340 (CVSS 9.1) затрагивает LoLLMs WEBUI — веб-интерфейс для локального запуска языковых моделей. За последний год в LoLLMs обнаружены ошибки обхода каталогов и SSRF.
Из расширений WordPress: CVE-2026-4001 (CVSS 9.8) — удалённое выполнение кода в WooCommerce Custom Product Addons Pro. CVE-2026-4283 (CVSS 9.1) — удаление учётных записей без авторизации в WP DSGVO Tools (GDPR). CVE-2026-3533 (CVSS 8.8) — загрузка файлов без авторизации в Jupiter X Core.
42 ошибки Firefox и 8 ошибок Chrome в один день. Обе группы содержат use-after-free и выход за пределы изолированной среды. Одной вредоносной страницы достаточно для компрометации устройства пользователя, не обновившего браузер. Langflow за неделю получила три ошибки удалённого выполнения кода (RCE) через одну и ту же функцию exec(). Платформу с 145 000 звёзд на GitHub нельзя использовать в рабочей среде, пока не пройдёт полный аудит безопасностиn.
Firefox необходимо обновить до версии 149, Chrome до 146.0.7680.165. Оба обновления закрывают побеги из песочницы. Для атаки достаточно заманить пользователя на вредоносную страницу. Администраторам Zimbra 8.8.15 стоит проверить наличие обновления для PostJournal. Langflow в текущем состоянии не готова к рабочей эксплуатации.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
