Mozilla е изтласкана от обхват Актуализации на софтуера към своя уеб браузър Firefox за това, че съдържа дупки в сигурността с голямо въздействие, като и двете, според него, се експлоатират активно в дивата природа.
Дефекти с нулев ден, проследявани като CVE-2022-26485 и CVE-2022-26486 Проблеми с използването след безплатно Въздействие върху езиковите трансформации на разширяемата таблица със стилове (XSLT) параметри на обработка и WebGPU междупроцесна комуникация (IPC) рамка.
XSLT е базиран на XML език, използван за конвертиране на XML документи в уеб страници или PDF документи, докато WebGPU е нововъзникващ уеб стандарт, който е описан като наследник на настоящата графична библиотека на WebGL JavaScript.
Двата дефекта са описани по-долу –
- CVE-2022-26485 – Премахването на параметъра XSLT по време на обработка може да доведе до експлоатируема употреба след употреба
- CVE-2022-26486 – Неочаквано съобщение в WebGPU IPC рамката може да доведе до безполезно и експлоатируемо бягство от пясъчника
Грешките при употреба – които могат да бъдат използвани за повреда на валидни данни и изпълнение на произволен код на компрометирани системи – произтичат главно от „объркване коя част от програмата е отговорна за освобождаването на паметта“.
Mozilla призна, че „имаме съобщения за атаки в дивата природа“, които използват и двете уязвимости, но не споделиха никакви технически подробности за пробивите или самоличността на злонамерените участници, които ги експлоатират.
Изследователите по сигурността Wang Gang, Liu Jialei, Du Sihang, Huang Yi и Yang Kang от Qihoo 360 ATA са кредитирани за откриването и докладването на недостатъците.
С оглед на активното използване на недостатъците, на потребителите се препоръчва да надстроят възможно най-скоро до Firefox 97.0.2, Firefox ESR 91.6.1, Firefox за Android 97.3.0, Focus 97.3.0 и Thunderbird 91.6.2.
„Internet trailblazer. Travelaholic. Страстен евангелист в социалните медии. Защитник на телевизията.“
More Stories
Партньорството на Microsoft OpenAI се роди от завистта на Google
Доклад разглежда спорния ход на GM да се откаже от Apple CarPlay
Rabbit R1 е базиран на Android