近日,Mozilla对火狐(Firefox)网络浏览器进行了带外安全更新,其中包含了两个影响很大的安全漏洞。数据显示,这两个漏洞正在被广泛利用。
这两个零日漏洞被追踪为CVE-2022-26485和CVE-2022-26486,被认为属于Use-After-Free 漏洞,其主要影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架。
XSLT是一种基于XML的语言,用于将XML文档转换成网页或PDF文档,而WebGPU是一种新兴的web标准,也被认为是当前WebGL JavaScript图形库的继承者。
以下是对这两个缺陷的具体描述:
CVE-2022-26485 - 在处理过程中删除XSLT参数可能会导致可利用的Use-After-Free 漏洞
CVE-2022-26486 - WebGPU IPC框架中一个意料之外的消息可能会导致Use-After-Free漏洞和可利用的sandbox escape
而通过利用Use-After-Free漏洞,这些缺陷可能被用来破坏有效数据,并在受损的系统上执行任意代码。
Mozilla已经承认收到受入侵的报告,且确认了这两个漏洞的武器化,但没有透露任何与入侵有关的技术细节,也没有透露利用这些漏洞的恶意者的身份。
关于本次入侵,外界普遍认为是奇虎360的安全研究人员王刚、刘家磊、杜思航、黄毅和杨康最先发现并报告了这些缺陷。
鉴于这些漏洞正被积极利用,建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。