Mozilla была вытеснена из зоны досягаемости Обновления программного обеспечения к своему веб-браузеру Firefox за наличие серьезных дыр в безопасности, которые, по его словам, активно эксплуатируются в дикой природе.
Дефекты нулевого дня отслеживаются как CVE-2022-26485 и CVE-2022-26486. Проблемы с использованием после бесплатного Влияние на преобразования расширяемого языка таблиц стилей (XSLT) параметры обработки и WebGPU межпроцессного взаимодействия (МПК) фреймворк.
XSLT — это язык на основе XML, используемый для преобразования XML-документов в веб-страницы или документы PDF, а WebGPU — это новый веб-стандарт, который был описан как преемник текущей графической библиотеки WebGL JavaScript.
Два дефекта описаны ниже:
- CVE-2022-26485 — Удаление параметра XSLT во время обработки может привести к уязвимости после использования.
- CVE-2022-26486 — Неожиданное сообщение в среде WebGPU IPC может привести к бесполезному и эксплуатируемому выходу из песочницы.
Ошибки использования, которые можно использовать для повреждения действительных данных и выполнения произвольного кода на скомпрометированных системах, в основном возникают из-за «путаницы в отношении того, какая часть программы отвечает за освобождение памяти».
Mozilla признала, что «у нас есть сообщения о реальных атаках», которые используют обе уязвимости в качестве оружия, но не поделилась техническими подробностями взломов или личностями злоумышленников, которые их использовали.
Исследователи безопасности Ван Ган, Лю Цзялей, Ду Сихан, Хуан И и Ян Кан из Qihoo 360 ATA приписывают обнаружение недостатков и сообщение о них.
Ввиду активной эксплуатации уязвимостей пользователям рекомендуется как можно скорее обновиться до Firefox 97.0.2, Firefox ESR 91.6.1, Firefox для Android 97.3.0, Focus 97.3.0 и Thunderbird 91.6.2.
«Энтузиаст социальных сетей. Пивной ботаник. Злой коммуникатор. Любитель поп-культуры. Склонен к приступам апатии».
More Stories
Table Space рассчитывает получить оценку в $2,5 млрд в ходе IPO в Индии
SpaceX ловит возвращающуюся ракету в воздухе, превращая фантастическую идею в реальность
Новый твердотельный накопитель Samsung стоит 0,07 доллара за ГБ по сделке Amazon Post-Prime Day.