2 нови грешки в Mozilla Firefox за 0 дни под активна атака – коригирайте браузъра си възможно най-скоро!

Mozilla е изтласкана от обхват Актуализации на софтуера към своя уеб браузър Firefox за това, че съдържа дупки в сигурността с голямо въздействие, като и двете, според него, се експлоатират активно в дивата природа.

Дефекти с нулев ден, проследявани като CVE-2022-26485 и CVE-2022-26486 Проблеми с използването след безплатно Въздействие върху езиковите трансформации на разширяемата таблица със стилове (XSLT) параметри на обработка и WebGPU междупроцесна комуникация (IPC) рамка.

XSLT е базиран на XML език, използван за конвертиране на XML документи в уеб страници или PDF документи, докато WebGPU е нововъзникващ уеб стандарт, който е описан като наследник на настоящата графична библиотека на WebGL JavaScript.

Двата дефекта са описани по-долу –

• CVE-2022-26485 – Премахването на параметъра XSLT по време на обработка може да доведе до експлоатируема употреба след употреба
• CVE-2022-26486 – Неочаквано съобщение в WebGPU IPC рамката може да доведе до безполезно и експлоатируемо бягство от пясъчника

Грешките при употреба – които могат да бъдат използвани за повреда на валидни данни и изпълнение на произволен код на компрометирани системи – произтичат главно от „объркване коя част от програмата е отговорна за освобождаването на паметта“.

Mozilla призна, че „имаме съобщения за атаки в дивата природа“, които използват и двете уязвимости, но не споделиха никакви технически подробности за пробивите или самоличността на злонамерените участници, които ги експлоатират.

Изследователите по сигурността Wang Gang, Liu Jialei, Du Sihang, Huang Yi и Yang Kang от Qihoo 360 ATA са кредитирани за откриването и докладването на недостатъците.

С оглед на активното използване на недостатъците, на потребителите се препоръчва да надстроят възможно най-скоро до Firefox 97.0.2, Firefox ESR 91.6.1, Firefox за Android 97.3.0, Focus 97.3.0 и Thunderbird 91.6.2.