Casa > Cyber ​​Notizie > CVE-2022-26485, CVE-2022-26486: Critical Firefox Zero-Days sfruttato in natura
CYBER NEWS

CVE-2022-26485, CVE-2022-26486: Critical Firefox Zero-Days sfruttato in natura

da   |  Ultimo aggiornamento:  |  0 Commenti  

CVE-2022-26485

Sono stati appena rilasciati due aggiornamenti fuori banda per risolvere un paio di vulnerabilità zero-day in Mozilla Firefox.

Mozilla afferma che entrambe le vulnerabilità vengono attivamente sfruttate in natura, il che significa che la patch dovrebbe essere eseguita il prima possibile. A causa delle loro caratteristiche, le vulnerabilità sono state classificate come critiche, e il loro impatto così alto.




I due zero-day, CVE-2022-26485 e CVE-2022-26486, derivano da problemi di utilizzo successivo che influiscono sulle trasformazioni del linguaggio dei fogli di stile estensibili (XSLT) elaborazione dei parametri, così come il framework di comunicazione interprocesso WebGPU (IPC).

CVE-2022-26485

Lo zero-day è stato descritto come "Use-after-free nell'elaborazione dei parametri XSLT". È stato scoperto da Qihoo 360 ricercatori ATA (Wang Gang, Liu Jialei, Du Sihang, Huang Yi, e Yang Kang), che affermano che la rimozione di un parametro XSLT durante l'elaborazione avrebbe potuto portare a un use-after-free sfruttabile. Ci sono segnalazioni di attacchi in natura che sfruttano il difetto.

CVE-2022-26486

Questo è un problema Use-after-free in WebGPU IPC Framework, scoperto anche dagli stessi ricercatori. “Un messaggio inaspettato nel framework IPC WebGPU potrebbe portare a un'evasione sandbox utilizzabile dopo l'uso e sfruttabile," suo descrizione dice.

Dal momento che entrambe le vulnerabilità sono state armate da aggressori in natura, si consiglia vivamente di aggiornare immediatamente a Firefox 97.0.2, Firefox ESR 91.6.1, Firefox per Android 97.3.0, Messa a fuoco 97.3.0, e Thunderbird 91.6.2.

Ulteriori informazioni sul precedente vulnerabilità critiche in Firefox.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Post correlati:
  1. CVE-2022-1802, CVE-2022-1529: Vulnerabilità critiche in Mozilla Firefox Mozilla ha rilasciato una nuova versione del suo browser Firefox (100.0.2)...
  2. Adobe patch 112 Alcune vulnerabilità in Ultime Patch Package (CVE-2018-5007) Adobe ha rilasciato l'ultimo pacchetto di patch che risolve un problema....
  3. CVE-2021-30632 e CVE-2021-30633: Chrome Zero-Days sfruttato in natura Il tuo browser Chrome è aggiornato?? Google ha appena rilasciato correzioni per....
  4. Esplora Parameter Mac Cos'è Explore Parameter Mac? Explore Parameter Mac is an...
  5. Rimuovi parametro di modifica Che cos'è Cambia parametro Mac? ChangeParameter is the name of...
  6. Novembre 2022 Correzioni del martedì delle patch 6 Zero-Day sfruttati (CVE-2022-41128) Novembre 2022 Patch Martedì: Cosa è stato risolto? Novembre 2022...
  7. CVE-2022-44698, CVE-2022-44710: Correzioni Microsoft 2 Zero giorni È uscito un altro martedì di patch Microsoft, fissando un totale...
  8. iOS CVE-2021-30807 Zero-Day sfruttato in natura, Patch Ora Una vulnerabilità zero-day in iOS, iPadOS, e macOS era solo....

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo