2 новых 0-дневных бага Mozilla Firefox под активной атакой — исправьте свой браузер как можно скорее!

Mozilla была вытеснена из зоны досягаемости Обновления программного обеспечения к своему веб-браузеру Firefox за наличие серьезных дыр в безопасности, которые, по его словам, активно эксплуатируются в дикой природе.

Дефекты нулевого дня отслеживаются как CVE-2022-26485 и CVE-2022-26486. Проблемы с использованием после бесплатного Влияние на преобразования расширяемого языка таблиц стилей (XSLT) параметры обработки и WebGPU межпроцессного взаимодействия (МПК) фреймворк.

XSLT — это язык на основе XML, используемый для преобразования XML-документов в веб-страницы или документы PDF, а WebGPU — это новый веб-стандарт, который был описан как преемник текущей графической библиотеки WebGL JavaScript.

Два дефекта описаны ниже:

• CVE-2022-26485 — Удаление параметра XSLT во время обработки может привести к уязвимости после использования.
• CVE-2022-26486 — Неожиданное сообщение в среде WebGPU IPC может привести к бесполезному и эксплуатируемому выходу из песочницы.

Ошибки использования, которые можно использовать для повреждения действительных данных и выполнения произвольного кода на скомпрометированных системах, в основном возникают из-за «путаницы в отношении того, какая часть программы отвечает за освобождение памяти».

Mozilla признала, что «у нас есть сообщения о реальных атаках», которые используют обе уязвимости в качестве оружия, но не поделилась техническими подробностями взломов или личностями злоумышленников, которые их использовали.

Исследователи безопасности Ван Ган, Лю Цзялей, Ду Сихан, Хуан И и Ян Кан из Qihoo 360 ATA приписывают обнаружение недостатков и сообщение о них.

Ввиду активной эксплуатации уязвимостей пользователям рекомендуется как можно скорее обновиться до Firefox 97.0.2, Firefox ESR 91.6.1, Firefox для Android 97.3.0, Focus 97.3.0 и Thunderbird 91.6.2.