2 noi erori pentru Mozilla Firefox 0-Day sub atac activ – remediați-vă browserul cât mai curând posibil!

Mozilla a fost scos din raza de acoperire Actualizări software browserului său web Firefox pentru că conține găuri de securitate cu impact mare, despre care ambele spune că sunt exploatate activ în sălbăticie.

Defecte zero zi urmărite ca CVE-2022-26485 și CVE-2022-26486 Probleme de utilizare după gratuit Impactul asupra transformărilor limbajului extensibil al foii de stil (XSLT) parametrii de prelucrare şi WebGPU comunicarea intraprocesuala (IPC) cadru.

Backup-uri automate pe GitHub

XSLT este un limbaj bazat pe XML folosit pentru a converti documente XML în pagini web sau documente PDF, în timp ce WebGPU este un standard web în curs de dezvoltare care a fost descris ca un succesor al actualei biblioteci grafice WebGL JavaScript.

Cele două defecte sunt descrise mai jos –

  • CVE-2022-26485 – Eliminarea parametrului XSLT în timpul procesării poate duce la o utilizare exploatabilă după utilizare
  • CVE-2022-26486 – Un mesaj neașteptat în cadrul WebGPU IPC poate duce la o evadare inutilă și exploatabilă în sandbox

Erorile de utilizare – care pot fi exploatate pentru a corupe date valide și pentru a executa cod arbitrar pe sisteme compromise – provin în principal din „confuzia cu privire la care parte a programului este responsabilă pentru eliberarea memoriei”.

Prevenirea încălcării datelor

Mozilla a recunoscut că „avem rapoarte de atacuri în sălbăticie” care armează ambele vulnerabilități, dar nu a împărtășit niciun detaliu tehnic cu privire la încălcări sau identitățile actorilor rău intenționați care le exploatează.

Cercetătorii de securitate Wang Gang, Liu Jialei, Du Sihang, Huang Yi și Yang Kang de la Qihoo 360 ATA sunt creditați cu descoperirea și raportarea deficiențelor.

Având în vedere exploatarea activă a defectelor, utilizatorilor li se recomandă să facă upgrade cât mai curând posibil la Firefox 97.0.2, Firefox ESR 91.6.1, Firefox pentru Android 97.3.0, Focus 97.3.0 și Thunderbird 91.6.2.

READ  Cum să activați „Look and Talk” pe Nest Hub Max

Lasă un răspuns

Adresa ta de email nu va fi publicată. Câmpurile obligatorii sunt marcate cu *