Mozilla cuối tuần qua đã phát hành bản cập nhật bảo mật khẩn cấp cho Firefox để giải quyết hai lỗ hổng zero-day đã bị khai thác trong các cuộc tấn công.

Theo dõi như CVE-2022-26485 và CVE-2022-26486 và được đánh giá là “mức độ nghiêm trọng nghiêm trọng”, hai lỗ hổng bảo mật này là các sự cố không sử dụng được đã được các nhà nghiên cứu bảo mật phát hiện và báo cáo với Qihoo 360 ATA.

Lỗ hổng đầu tiên có thể được kích hoạt bằng cách loại bỏ tham số Chuyển đổi ngôn ngữ biểu định kiểu mở rộng (XSLT) trong quá trình xử lý, trong khi lỗi thứ hai được kích hoạt bởi một thông báo không mong muốn trong khung giao tiếp giữa các quá trình WebGPU (IPC).

Mozilla lưu ý trong lời khuyên của mình: “Chúng tôi đã nhận được báo cáo về các cuộc tấn công lạm dụng lỗ hổng này.

Mặc dù nhà sản xuất trình duyệt không cung cấp thêm thông tin chi tiết về các nỗ lực khai thác được quan sát, nhưng các lỗ hổng use-after-free thường cho phép kẻ tấn công thực thi mã tùy ý trên hệ thống mục tiêu.

Mozilla cho biết cả hai vấn đề đều được giải quyết khi phát hành Firefox 97.0.2, Firefox ESR 91.6.1, Firefox cho Android 97.3.0 và Focus 97.3.0.

Chi tiết kỹ thuật về hai lỗ hổng bảo mật này cũng chưa được chia sẻ nhưng nhiều thông tin hơn có thể sẽ được công bố sau khi phần lớn người dùng đã cài đặt các bản vá.

Trong hai năm qua, Firefox hầu như không bị ảnh hưởng bởi các cuộc tấn công zero-day, mặc dù đã xác định và vá hàng chục lỗ hổng nghiêm trọng trên trình duyệt trong thời gian này.

Google Project Zero đã theo dõi 2014 lỗ hổng Firefox bị khai thác trong các cuộc tấn công kể từ năm 2020, bao gồm 2019 lỗ hổng được vá vào năm 2016, 2015 lỗ hổng vào năm XNUMX, XNUMX lỗ hổng vào năm XNUMX và XNUMX lỗ hổng vào năm XNUMX.

Liên quan: Mozilla vá hai lỗ hổng Firefox bị khai thác trong các cuộc tấn công

Liên quan: Mozilla vá lỗi Zero-Day của Firefox bị khai thác trong các cuộc tấn công có chủ đích

Liên quan: Zero-Day của Firefox bị khai thác để phát tán phần mềm độc hại tới các sàn giao dịch tiền điện tử

Ionut Arghire là phóng viên quốc tế của SecurityWeek.

Các cột trước của Ionut Arghire:

tags:

• Coinsmart. Sàn giao dịch Bitcoin và tiền điện tử tốt nhất Châu Âu.
• Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến ​​thức. TRUY CẬP MIỄN PHÍ.
• CryptoHawk. Radar Altcoin. Dùng thử miễn phí.
• Nguồn: https://www.securityweek.com/emergency-firefox-update-patches-two-actively-exploited-zero-day-vulnerabilities