>> サイバーニュース > CVE-2022-26485, CVE-2022-26486: 野生で悪用された重要なFirefoxゼロデイ
サイバーニュース

CVE-2022-26485, CVE-2022-26486: 野生で悪用された重要なFirefoxゼロデイ

CVE-2022-26485

Mozilla Firefoxのゼロデイ脆弱性に対処するために、2つの帯域外アップデートがリリースされました。.

Mozillaは、両方の脆弱性が実際に積極的に悪用されていると述べています, つまり、パッチはできるだけ早く実行する必要があります. それらの特性のため, 脆弱性は重大と評価されています, そしてそれらの影響は高い.




2つのゼロ日, CVE-2022-26485およびCVE-2022-26486, ExtensibleStylesheet言語変換に影響を与える解放後使用の問題に起因します (XSLT) パラメータ処理, WebGPUプロセス間通信フレームワークと同様に (IPC).

CVE-2022-26485

ゼロデイは、「XSLTパラメーター処理での解放後使用」として説明されています。. Qihooによって発見されました 360 ATA研究者 (ワンギャング, Liu Jialei, 四行倉庫, 黄奕, と楊康), 処理中にXSLTパラメータを削除すると、悪用可能な解放後の使用につながる可能性があると誰が言いますか. 欠陥を悪用する野外攻撃の報告があります.

CVE-2022-26486

これは、WebGPUIPCフレームワークの問題での解放後の使用です, 同じ研究者によっても発見された. 「WebGPUIPCフレームワークでの予期しないメッセージは、解放後の使用と悪用可能なサンドボックスエスケープにつながる可能性があります," これは 説明 言う.

両方の脆弱性が野生の攻撃者によって武器化されているため, すぐにFirefoxにアップグレードすることを強くお勧めします 97.0.2, Firefox ESR 91.6.1, Android版Firefox 97.3.0, 集中 97.3.0, とサンダーバード 91.6.2.

以前の詳細 Firefoxの重大な脆弱性.

ミレーナ・ディミトロワ

プロジェクトの開始以来SensorsTechForumに所属しているインスピレーションを得たライター兼コンテンツマネージャー. の専門家 10+ 魅力的なコンテンツの作成における長年の経験. ユーザーのプライバシーとマルウェア開発に焦点を当てています, 彼女はサイバーセキュリティが中心的な役割を果たす世界を強く信じています. 常識が意味をなさない場合, 彼女はメモを取るためにそこにいます. それらのメモは後で記事になる可能性があります! Milena@Milenyimをフォローする

その他の投稿

フォローしてください:
ツイッター

コメントを残す

あなたのメールアドレスが公開されることはありません. 必須フィールドは、マークされています *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our プライバシーポリシー.
同意します