两个新的 Mozilla Firefox 零日漏洞受到广泛攻击


Mozilla 已将安全补丁更新推送到其 Firefox 网络浏览器,其中包含两个影响巨大的安全漏洞,据外媒 Hacker News 称,这两个漏洞都在被广泛利用。

两个零日漏洞分别被跟踪为 CVE-2022-26485 和 CVE-2022-26486 :

  • CVE-2022-26485:在处理过程中删除 XSLT 参数可能导致可利用的 use-after-free Bug。(XSLT 是一种基于 XML 的语言,用于将 XML 文档转换为网页或 PDF 文档)
  • CVE-2022-26486:WebGPU IPC 框架中的意外消息可能导致 use-after-free Bug 和可利用的沙箱逃逸。(WebGPU 是一种新兴的 Web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者)

use-after-free Bug 是指内存块被释放后,其对应的指针没有被设置为 NULL,这样导致该指针处于悬空的状态。被释放的内存可能被利用来破坏有效的数据,并在受损的系统上执行任意代码。

目前 Mozilla 已承认“我们已经收到了关于野外攻击的报告”,但没有分享关于入侵时间或恶意攻击者相关的任何技术细节。鉴于漏洞被积极利用,建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Focus 97.3.0、Thunderbird 91.6.2。


相關推薦

2021-12-07

Mozilla 今天通过其 Mozilla Hacks 博客对外宣布,他们计划为 Firefox 浏览器新增一个名为 RLBox 的新型沙盒技术,该技术是 Mozilla 与加州大学圣地亚哥分校(UCSD)和德克萨斯大学(UT)的研究人员所共同开发的,并将随 Firefox 95 一

2022-03-31

该漏洞发表任何官方公告:的最新漏洞公告是 和 ,但这两个漏洞的严重程度都是中等,无法与网传 Spring 核心框架的 RCE 高危程度相比。

2023-10-09

rosoft将在Windows 11中引入密钥支持功能 作为Windows 11重大更新的一部分,微软今天推出了密钥支持功能。用户将能使用设备PIN或生物识别信息登录网站和应用,而无需提供用户名和密码。【Microsoft is Rolling out Support for Passkeys in Windo

2024-07-08

(KVM) 管理程序中的漏洞。值得注意的是,kvmCTF 的重点是零日漏洞,不会奖励针对已知漏洞的漏洞。只有在上游补丁发布后,谷歌才会收到发现的零日漏洞的详细信息,确保信息同时与开源社区共享。 kvmCTF 使用 Google Bare Metal Sol

2022-11-03

攻击者开始使用 XML 和 VBA 的组合来执行恶意活动。 Log4j 漏洞仍被广泛利用。在 2021 年 12 月 11 日至 2022 年 6 月 30 日期间,SonicWall 共记录了 5.575 亿次 Log4Shell 攻击尝试,平均每天 280 万次。 从 2022 年 1 月到 2022 年 7 月,加密

2023-08-07

Chrome、Edge、Brave 和任何其他基于 Chromium 的浏览器以及 Firefox;并推出了一个付费增值功能,可以深入研究整个组织的代码库,以便随时查找任何依赖项。

2024-01-07

、谷歌在 Chrome 强推"Manifest V3"将引起广泛抵制,但如果 Mozilla 今年只是押注人工智能,没有将重心放在 Firefox 上——帮助全世界摆脱浏览器垄断,Firefox 可能再也没有这样的机会来扩大市场份额。   六、开源生成式人工智能

2024-07-21

Protect AI 最新发布的一份 2024 年 7 月漏洞报告在各种大语言模型(LLM)中发现了 20 个严重漏洞。 这些漏洞是通过 Protect AI 的“huntr”漏洞赏金计划发现的,这也是全球首个 AI/ML 漏洞赏金计划。该社区由 15,000 多成员组成,在整

2022-03-25

Firefox 制造商 Mozilla 在近期发布的中谈及其对 Web 技术发展的目标及愿景,该目标基于 中对Web 的三个基本价值观: Web 应当具有开放性:每个人都可以访问网络,并使用它来接触其他人。 Web 仅作为一个代理机构:每个人接触网

2022-01-06

开始研究 Web 缓存中毒;然而仅仅几周后,他就发现了两个新的缓存中毒漏洞:“这让我意识到缓存中毒的攻击面有多大”。他在一篇博客中详细介绍了自己是如何发现和报告网络缓存漏洞的,其中包括有 Apache Traffic Server、GitH

2022-05-23

在去年 5 月,Mozilla 就曾发文表示 Firefox 将支持 Google 的 Manifest V3 规范,以保持兼容性并支持扩展跨浏览器开发。近日,Mozilla 宣布已在 Firefox 浏览器的开发版本中引入了 Manifest V3 Preview,并计划在 2022 年底正式引入对 Manifest V3

2022-02-16

据 Mozilla 工程师 Martin Thonsom 介绍,Mozilla 正与 Meta 的技术团队合作开发一项新的强隐私保护广告技术,名为 IPA (Interoperable Private Attribution ,译为中文可称作互操作性私人归因)。 Attribution 在广告领域中译作归因,归因

2021-12-29

(RCE) 和 CVE-2021-45105 (DoS 攻击)。 目前,Apache 团队已发布新的 Log4j 版本以修复新发现的这一漏洞。根据介绍,CVE-2021-44832 表现为,当攻击者控制配置时,Apache Log4j2 通过 JDBC Appender 容易受到 RCE 的攻击。 CVE-2021-44832 远程

2023-10-17

(的前两天),相约开源PHP办公室,我们一起聊 AI!>>> Mozilla 宣布,从 11 月 1 日 起,「Firefox 账户」将更名为「Mozilla 账户」。 Mozilla 表示,Firefox 账户已成为 Mozilla 为各种产品和服务提供的主要身份验证和账户管理服务,为