Mozilla a fost scos din raza de acoperire Actualizări software browserului său web Firefox pentru că conține găuri de securitate cu impact mare, despre care ambele spune că sunt exploatate activ în sălbăticie.
Defecte zero zi urmărite ca CVE-2022-26485 și CVE-2022-26486 Probleme de utilizare după gratuit Impactul asupra transformărilor limbajului extensibil al foii de stil (XSLT) parametrii de prelucrare şi WebGPU comunicarea intraprocesuala (IPC) cadru.
XSLT este un limbaj bazat pe XML folosit pentru a converti documente XML în pagini web sau documente PDF, în timp ce WebGPU este un standard web în curs de dezvoltare care a fost descris ca un succesor al actualei biblioteci grafice WebGL JavaScript.
Cele două defecte sunt descrise mai jos –
- CVE-2022-26485 – Eliminarea parametrului XSLT în timpul procesării poate duce la o utilizare exploatabilă după utilizare
- CVE-2022-26486 – Un mesaj neașteptat în cadrul WebGPU IPC poate duce la o evadare inutilă și exploatabilă în sandbox
Erorile de utilizare – care pot fi exploatate pentru a corupe date valide și pentru a executa cod arbitrar pe sisteme compromise – provin în principal din „confuzia cu privire la care parte a programului este responsabilă pentru eliberarea memoriei”.
Mozilla a recunoscut că „avem rapoarte de atacuri în sălbăticie” care armează ambele vulnerabilități, dar nu a împărtășit niciun detaliu tehnic cu privire la încălcări sau identitățile actorilor rău intenționați care le exploatează.
Cercetătorii de securitate Wang Gang, Liu Jialei, Du Sihang, Huang Yi și Yang Kang de la Qihoo 360 ATA sunt creditați cu descoperirea și raportarea deficiențelor.
Având în vedere exploatarea activă a defectelor, utilizatorilor li se recomandă să facă upgrade cât mai curând posibil la Firefox 97.0.2, Firefox ESR 91.6.1, Firefox pentru Android 97.3.0, Focus 97.3.0 și Thunderbird 91.6.2.
„Iubitor tipic de twitter. Muzicholic pe tot parcursul vieții. Fanatic al culturii pop. Prieten al animalelor de pretutindeni. Evanghelist avid de bere. Jucător certificat.”