Accueil > Nouvelles Cyber > CVE-2022-26485, CVE-2022-26486: Firefox Zero-Days critiques exploités à l'état sauvage
CYBER NOUVELLES

CVE-2022-26485, CVE-2022-26486: Firefox Zero-Days critiques exploités à l'état sauvage

CVE-2022-26485

Deux mises à jour hors bande viennent d'être publiées pour corriger quelques vulnérabilités zero-day dans Mozilla Firefox.

Mozilla dit que les deux vulnérabilités sont activement exploitées dans la nature, ce qui signifie que le patch doit être fait dès que possible. En raison de leurs caractéristiques, les vulnérabilités ont été classées comme critiques, et leur impact aussi élevé.




Les deux jours zéro, CVE-2022-26485 et CVE-2022-26486, proviennent de problèmes d'utilisation après libération qui affectent les transformations du langage de feuille de style extensible (XSLT) traitement des paramètres, ainsi que le framework de communication inter-processus WebGPU (CIB).

CVE-2022-26485

Le jour zéro a été décrit comme "Utilisation après libération dans le traitement des paramètres XSLT". Il a été découvert par Qihoo 360 ATA chercheurs (Gang Wang, Liu Jialei, Du Sihang, Huang Yi, et Yang Kang), qui disent que la suppression d'un paramètre XSLT lors du traitement aurait pu conduire à un use-after-free exploitable. Il y a des rapports d'attaques dans la nature exploitant la faille.

CVE-2022-26486

Il s'agit d'un problème d'utilisation après libération dans WebGPU IPC Framework, également découvert par les mêmes chercheurs. "Un message inattendu dans le framework WebGPU IPC pourrait conduire à un échappement sandbox utilisable après libération et exploitable," son description dit.

Étant donné que les deux vulnérabilités ont été militarisées par des attaquants dans la nature, il est fortement recommandé de passer immédiatement à Firefox 97.0.2, Firefox ESR 91.6.1, Firefox pour Androïd 97.3.0, Concentrer 97.3.0, et Thunderbird 91.6.2.

En savoir plus sur les précédents vulnérabilités critiques dans Firefox.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord