2 Nuovi bug di Mozilla Firefox 0-Day sotto attacco attivo: correggi il tuo browser il prima possibile!

Mozilla è stato spinto fuori portata Aggiornamenti software al suo browser Web Firefox per il contenimento di falle di sicurezza ad alto impatto, entrambe sfruttate attivamente in natura.

Difetti zero-day monitorati come CVE-2022-26485 e CVE-2022-26486 Problemi di utilizzo dopo gratis Impatto sulle trasformazioni del linguaggio dei fogli di stile estensibili (XSLT) parametri di elaborazione e WebGPU comunicazione tra processi (IPC) struttura.

XSLT è un linguaggio basato su XML utilizzato per convertire documenti XML in pagine Web o documenti PDF, mentre WebGPU è uno standard Web emergente che è stato descritto come un successore dell’attuale libreria grafica JavaScript WebGL.

I due difetti sono descritti di seguito –

• CVE-2022-26485 – La rimozione del parametro XSLT durante l’elaborazione può comportare un utilizzo sfruttabile dopo l’uso
• CVE-2022-26486 – Un messaggio inaspettato nel framework WebGPU IPC può portare a un’escape sandbox inutile e sfruttabile

Gli errori di utilizzo, che possono essere sfruttati per corrompere dati validi ed eseguire codice arbitrario su sistemi compromessi, derivano principalmente dalla “confusione su quale parte del programma è responsabile della liberazione della memoria”.

Mozilla ha riconosciuto che “abbiamo segnalazioni di attacchi in natura” che armano entrambe le vulnerabilità, ma non ha condiviso alcun dettaglio tecnico delle violazioni o identità degli attori malintenzionati che le sfruttano.

I ricercatori di sicurezza Wang Gang, Liu Jialei, Du Sihang, Huang Yi e Yang Kang di Qihoo 360 ATA sono accreditati di aver scoperto e segnalato le carenze.

In considerazione dello sfruttamento attivo dei difetti, si consiglia agli utenti di aggiornare il prima possibile Firefox 97.0.2, Firefox ESR 91.6.1, Firefox per Android 97.3.0, Focus 97.3.0 e Thunderbird 91.6.2.