Mozilla 已将安全补丁更新推送到其 Firefox 网络浏览器,其中包含两个影响巨大的安全漏洞,据外媒 Hacker News 称,这两个漏洞都在被广泛利用。
两个零日漏洞分别被跟踪为 CVE-2022-26485 和 CVE-2022-26486 :
- CVE-2022-26485:在处理过程中删除 XSLT 参数可能导致可利用的 use-after-free Bug。(XSLT 是一种基于 XML 的语言,用于将 XML 文档转换为网页或 PDF 文档)
- CVE-2022-26486:WebGPU IPC 框架中的意外消息可能导致 use-after-free Bug 和可利用的沙箱逃逸。(WebGPU 是一种新兴的 Web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者)
use-after-free Bug 是指内存块被释放后,其对应的指针没有被设置为 NULL,这样导致该指针处于悬空的状态。被释放的内存可能被利用来破坏有效的数据,并在受损的系统上执行任意代码。
目前 Mozilla 已承认“我们已经收到了关于野外攻击的报告”,但没有分享关于入侵时间或恶意攻击者相关的任何技术细节。鉴于漏洞被积极利用,建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Focus 97.3.0、Thunderbird 91.6.2。