Duas atualizações fora de banda acabaram de ser lançadas para resolver algumas vulnerabilidades de dia zero no Mozilla Firefox.
Mozilla diz que ambas as vulnerabilidades estão sendo exploradas ativamente na natureza, o que significa que a correção deve ser feita o mais rápido possível. Pelas suas características, as vulnerabilidades foram classificadas como críticas, e seu impacto tão alto.
Os dois dias zero, CVE-2022-26485 e CVE-2022-26486, decorrem de problemas de uso posterior que afetam as transformações de linguagem de folha de estilo extensível (XSLT) processamento de parâmetros, bem como a estrutura de comunicação entre processos WebGPU (IPC).
CVE-2022-26485
O dia zero foi descrito como “Use-after-free no processamento de parâmetros XSLT”. Foi descoberto por Qihoo 360 pesquisadores ATA (Gangue Wang, Liu Jialei, Du Sihang, Huang Yi, e Yang Kang), que dizem que a remoção de um parâmetro XSLT durante o processamento pode ter levado a um uso pós-livre explorável. Há relatos de ataques em estado selvagem explorando a falha.
CVE-2022-26486
Este é um problema Use-after-free no WebGPU IPC Framework, também descoberto pelos mesmos pesquisadores. “Uma mensagem inesperada na estrutura IPC da WebGPU pode levar a um escape de sandbox de uso posterior livre e explorável," Está descrição diz.
Uma vez que ambas as vulnerabilidades foram armadas por invasores em estado selvagem, é altamente recomendável atualizar imediatamente para o Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0, Foco 97.3.0, e Thunderbird 91.6.2.
Saiba mais sobre anteriores vulnerabilidades críticas no Firefox.