Zwei Out-of-Band-Updates wurden gerade veröffentlicht, um ein paar Zero-Day-Schwachstellen in Mozilla Firefox zu beheben.
Mozilla sagt, dass beide Schwachstellen aktiv in freier Wildbahn ausgenutzt werden, Dies bedeutet, dass das Patchen so schnell wie möglich erfolgen sollte. Aufgrund ihrer Eigenschaften, die Schwachstellen wurden als kritisch eingestuft, und ihre Wirkung so hoch.
Die zwei Zero-Days, CVE-2022-26485 und CVE-2022-26486, stammen von Use-After-Free-Problemen, die die Extensible Stylesheet Language Transformations betreffen (XSLT) Parameterverarbeitung, sowie das WebGPU Inter-Process Communication Framework (IPC).
CVE-2022-26485
Der Zero-Day wurde als „Use-after-free in der XSLT-Parameterverarbeitung“ beschrieben.. Es wurde von Qihoo entdeckt 360 ATA Forscher (Wang Gang, Liu Jialei, Du Sihang, Huang Yi, und Yang Kang), die sagen, dass das Entfernen eines XSLT-Parameters während der Verarbeitung zu einem ausnutzbaren Use-after-free geführt haben könnte. Es gibt Berichte über Angriffe in freier Wildbahn, die den Fehler ausnutzen.
CVE-2022-26486
Dies ist ein Use-after-free-Problem im WebGPU IPC Framework, auch von den gleichen Forschern entdeckt. „Eine unerwartete Meldung im WebGPU-IPC-Framework könnte zu einem Use-after-Free- und ausnutzbaren Sandbox-Escape führen," es ist Beschreibung sagt.
Da beide Sicherheitslücken von Angreifern in freier Wildbahn bewaffnet wurden, Es wird dringend empfohlen, sofort auf Firefox zu aktualisieren 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0, Fokus 97.3.0, und Thunderbird 91.6.2.
Erfahren Sie mehr über früher Kritische Sicherheitslücken in Firefox.