Aktívan kihasznált zero day sérülékenységeket javít a Firefox frissítése

 

Soron kívüli frissítést adott ki a Mozilla a Firefox böngésző két aktívan kihasznált zero day sérülékenysége miatt. A CVE-2022-26485 és CVE-2022-26486 két ún. use-after-free (UAF) sérülékenység, előbbi az XSLT (Extensible Stylesheet Language Transformations) paraméterfeldolgozást, utóbbi pedig a WebGPU folyamatok közötti kommunikációs (inter-process communication – IPC) keretrendszert érinti. A sérülékenységek kihasználása lehetővé teszi a valós, érvényes adatok megrongálását és tetszőleges kód futtatását az érintett rendszeren. Bár a Mozilla elismerte, hogy a sérülékenységeket aktívan kihasználják, ennél több technikai részletet, illetve a támadók kilétével kapcsolatos információkat nem árult el. A felhasználóknak javasolt mielőbb frissíteniük a Firefox 97.0.2, Firefox ESR 91.6.1, Firefox Android 97.3.0, Firefox Focus 97.3.0 és a Thunderbird 91.6.2. verziókat.

Megjegyzés: A Firefox asztali verziójának ellenőrzését a böngészőablak jobb felső sarkában lévő három vonal (hamburgermenü) -> Súgó -> A Firefox névjegye menüpontban tehetjük meg.

(thehackernews.com)