两个Mozilla Firefox 零日漏洞曝光

Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级，包含了两个高影响力的安全漏洞。 Mozilla 称，这两个漏洞正在被大肆利用。

标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。

XSLT 是一种基于 XML 的语言，用于将 XML 文档转换为网页或 PDF 文档，而 WebGPU 是一种新兴的 web 标准，被宣传为当前 WebGL JavaScript 图形库的继承者。

这两个漏洞的描述如下-

• CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞
• CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离

Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱”

Mozilla 承认，“我们收到了这两个漏洞成为攻击武器的报告”，但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。

考虑到这些漏洞，建议用户尽快升级到 Firefox 97.0.2，Firefox ESR 91.6.1，Firefox for Android 97.3.0，Focus 97.3.0和 Thunderbird 91.6.2。