To out-of-band-opdateringer er netop udgivet for at løse et par nul-dages sårbarheder i Mozilla Firefox.
Mozilla siger, at begge sårbarheder bliver aktivt udnyttet i naturen, hvilket betyder, at patching skal udføres så hurtigt som muligt. På grund af deres egenskaber, sårbarhederne er blevet vurderet som kritiske, og deres indvirkning så høj.
De to nul-dage, CVE-2022-26485 og CVE-2022-26486, stammer fra problemer uden brug, der påvirker sprogtransformationerne i Extensible Stylesheets (XSLT) parameterbehandling, samt WebGPU inter-proces kommunikationsramme (IPC).
CVE-2022-26485
Nuldagen er blevet beskrevet som "Brug-efter-fri i XSLT-parameterbehandling". Det blev opdaget af Qihoo 360 ATA forskere (Wang Gang, Liu Jialei, Du Sihang, Huang Yi, og Yang Kang), der siger, at fjernelse af en XSLT-parameter under behandling kunne have ført til en udnyttelig use-after-free. Der er rapporter om angreb i naturen, der udnytter fejlen.
CVE-2022-26486
Dette er et Use-after-free-problem i WebGPU IPC Framework, også opdaget af de samme forskere. "En uventet besked i WebGPU IPC-rammeværket kan føre til en brug-efter-fri og udnyttelig sandkasse-escape,"dets beskrivelse siger.
Da begge sårbarheder er blevet bevæbnet af angribere i naturen, det anbefales stærkt at opgradere til Firefox med det samme 97.0.2, Firefox ESR 91.6.1, Firefox til Android 97.3.0, Fokus 97.3.0, og Thunderbird 91.6.2.
Lær mere om tidligere kritiske sårbarheder i Firefox.