2 Lỗi 0 ngày mới của Mozilla Firefox đang bị tấn công – Hãy vá trình duyệt của bạn càng sớm càng tốt!

Đang tấn công chủ động

Mozilla đã đẩy các bản cập nhật phần mềm ngoài băng tần cho trình duyệt web Firefox của mình để chứa hai bảo mật có ảnh hưởng lớn, cả hai lỗ hổng bảo mật này đều đang được khai thác tích cực.

Được theo dõi là CVE-2022-26485 và CVE-2022-26486, các lỗi zero-day đã được mô tả là các vấn đề sử dụng sau khi không sử dụng ảnh hưởng đến quá trình xử lý tham số Chuyển đổi ngôn ngữ biểu định kiểu mở rộng (XSLT) và giao tiếp giữa các quá trình WebGPU (IPC) Khuôn khổ.

XSLT là một ngôn ngữ dựa trên XML được sử dụng để chuyển đổi các tài liệu XML thành các trang web hoặc tài liệu PDF, trong khi WebGPU là một tiêu chuẩn web mới nổi được lập hóa đơn như một sự kế thừa cho thư viện đồ họa WebGL JavaScript hiện tại.

Dưới đây là mô tả về hai sai sót –

CVE-2022-26485 – Việc xóa tham số XSLT trong quá trình xử lý có thể dẫn đến việc sử dụng miễn phí có thể khai thác được
CVE-2022-26486 – Một thông báo không mong muốn trong khung WebGPU IPC có thể dẫn đến việc thoát hộp cát sử dụng sau khi miễn phí và có thể khai thác

Các lỗi sử dụng sau khi miễn phí – có thể bị lợi dụng để làm hỏng dữ liệu hợp lệ và thực thi mã tùy ý trên các hệ thống bị xâm phạm – chủ yếu xuất phát từ “sự nhầm lẫn về phần nào của chương trình chịu trách nhiệm giải phóng bộ nhớ.”

Xem tiếp:   Apple kiện Nhóm NSO của Israel về tội theo dõi người dùng iPhone bằng phần mềm gián điệp Pegasus

Mozilla thừa nhận rằng “Chúng tôi đã có báo cáo về các cuộc tấn công trong tự nhiên” vũ khí hóa hai lỗ hổng nhưng không chia sẻ bất kỳ chi tiết kỹ thuật cụ thể nào liên quan đến các cuộc xâm nhập hoặc danh tính của những kẻ xấu khai thác chúng.

Các nhà nghiên cứu bảo mật Wang Gang, Liu Jialei, Du Sihang, Huang Yi và Yang Kang của Qihoo 360 ATA đã được ghi nhận là đã phát hiện và báo cáo những thiếu sót.

Do việc khai thác tích cực các lỗ hổng, người dùng nên nâng cấp càng sớm càng tốt lên Firefox 97.0.2, Firefox ESR 91.6.1, Firefox dành cho Android 97.3.0, Focus 97.3.0 và Thunderbird 91.6.2.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …