Er zijn zojuist twee out-of-band updates uitgebracht om een aantal zero-day-kwetsbaarheden in Mozilla Firefox aan te pakken.
Mozilla zegt dat beide kwetsbaarheden actief worden misbruikt in het wild, wat betekent dat het patchen zo snel mogelijk moet gebeuren. Vanwege hun kenmerken, de kwetsbaarheden zijn als kritiek beoordeeld, en hun impact zo hoog.
De twee nul-dagen, CVE-2022-26485 en CVE-2022-26486, komen voort uit use-after-free-problemen die van invloed zijn op de taaltransformaties van de uitbreidbare stylesheet (XSLT) parameterverwerking, evenals het WebGPU-raamwerk voor communicatie tussen processen (IPC).
CVE-2022-26485
De zero-day is beschreven als "Use-after-free in XSLT-parameterverwerking". Het werd ontdekt door Qihoo 360 ATA onderzoekers (Wang Gang, Liu Jialei, Du Sihang, Huang Yi, en Yang Kango), die zeggen dat het verwijderen van een XSLT-parameter tijdens de verwerking had kunnen leiden tot een exploiteerbare use-after-free. Er zijn meldingen van aanvallen-in-the-wild die misbruik maken van de fout.
CVE-2022-26486
Dit is een Use-after-free in WebGPU IPC Framework-probleem, ook ontdekt door dezelfde onderzoekers. “Een onverwacht bericht in het WebGPU IPC-framework kan leiden tot een gebruik-na-free en exploiteerbare sandbox-escape," zijn beschrijving zegt.
Aangezien beide kwetsbaarheden zijn bewapend door aanvallers in het wild, het wordt ten zeerste aanbevolen om onmiddellijk te upgraden naar Firefox 97.0.2, Firefox ESR 91.6.1, Firefox voor Android 97.3.0, Focus 97.3.0, en Thunderbird 91.6.2.
Meer informatie over vorige kritieke kwetsbaarheden in Firefox.