Mozilla đã đẩy lùi nâng cấp phần mềm vào trình duyệt web Firefox của mình để chứa hai lỗ hổng bảo mật có tác động cao, cả hai lỗ hổng bảo mật này đều đang được khai thác tích cực.
Được theo dõi là CVE-2022-26485 và CVE-2022-26486, các lỗ hổng zero-day đã được mô tả là vấn đề sử dụng sau khi miễn phí tác động đến Chuyển đổi ngôn ngữ biểu định kiểu có thể mở rộng (XSLT) xử lý tham số và WebGPU giao tiếp giữa các quá trình (IPC) Khuôn khổ.
XSLT là một ngôn ngữ dựa trên XML được sử dụng để chuyển đổi các tài liệu XML thành các trang web hoặc tài liệu PDF, trong khi WebGPU là một tiêu chuẩn web mới nổi được lập hóa đơn như một sự kế thừa cho thư viện đồ họa WebGL JavaScript hiện tại.
Dưới đây là mô tả về hai sai sót -
- CVE-2022-26485 - Việc xóa tham số XSLT trong quá trình xử lý có thể dẫn đến việc sử dụng miễn phí có thể khai thác được
- CVE-2022-26486 - Một thông báo không mong muốn trong khung WebGPU IPC có thể dẫn đến việc thoát hộp cát sử dụng sau khi miễn phí và có thể khai thác
Lỗi sử dụng sau khi miễn phí - có thể bị lợi dụng để làm hỏng dữ liệu hợp lệ và thực thi mã tùy ý trên các hệ thống bị xâm phạm - chủ yếu xuất phát từ "sự nhầm lẫn về phần nào của chương trình chịu trách nhiệm giải phóng bộ nhớ."
Mozilla thừa nhận rằng "Chúng tôi đã có báo cáo về các cuộc tấn công trong tự nhiên" vũ khí hóa hai lỗ hổng nhưng không chia sẻ bất kỳ chi tiết kỹ thuật cụ thể nào liên quan đến các cuộc xâm nhập hoặc danh tính của những kẻ độc hại khai thác chúng.
Các nhà nghiên cứu bảo mật Wang Gang, Liu Jialei, Du Sihang, Huang Yi và Yang Kang của Qihoo 360 ATA đã được ghi nhận là đã phát hiện và báo cáo những thiếu sót.
Do việc khai thác tích cực các lỗ hổng, người dùng nên nâng cấp càng sớm càng tốt lên Firefox 97.0.2, Firefox ESR 91.6.1, Firefox dành cho Android 97.3.0, Focus 97.3.0 và Thunderbird 91.6.2.