Se acaban de publicar dos actualizaciones fuera de banda para abordar un par de vulnerabilidades de día cero en Mozilla Firefox.
Mozilla dice que ambas vulnerabilidades están siendo explotadas activamente en la naturaleza, lo que significa que el parche debe hacerse lo antes posible. Por sus caracteristicas, las vulnerabilidades han sido calificadas como críticas, y su impacto tan alto.
Los dos días cero, CVE-2022-26485 y CVE-2022-26486, provienen de problemas de uso después de la liberación que afectan las transformaciones del lenguaje de hoja de estilo extensible (XSLT) procesamiento de parámetros, así como el marco de comunicación entre procesos WebGPU (CIP).
CVE-2022-26485
El día cero se ha descrito como "Usar después de liberar en el procesamiento de parámetros XSLT". Fue descubierto por Qihoo. 360 investigadores ATA (Pandilla Wang, liu jialei, du sihang, huang yi, y Yang Kang), que dicen que la eliminación de un parámetro XSLT durante el procesamiento podría haber dado lugar a un uso después de la liberación explotable. Hay informes de ataques en estado salvaje que explotan la falla..
CVE-2022-26486
Este es un problema Use-after-free en WebGPU IPC Framework, también descubierto por los mismos investigadores. “Un mensaje inesperado en el marco WebGPU IPC podría conducir a un escape de sandbox explotable y de uso después de libre," su descripción dice.
Dado que ambas vulnerabilidades han sido armadas por atacantes en la naturaleza, se recomienda encarecidamente actualizar inmediatamente a Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0, Atención 97.3.0, y Thunderbird 91.6.2.
Más información sobre anteriores vulnerabilidades críticas en Firefox.