安全通告

Mozilla Firefox Use-after-free漏洞安全风险通告

发布日期：2022-3-9

漏洞描述

近日，监测到Mozilla对火狐(Firefox)网络浏览器进行了带外安全更新，其中包含了两个影响很大的安全漏洞。数据显示，这两个漏洞正在被广泛利用。这两个零日漏洞被追踪为CVE-2022-26485和CVE-2022-26486，被认为属于Use-After-Free 漏洞，其主要影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架。攻击者能够利用它们导致程序崩溃，或在未经许可的情况下在设备上执行命令。

Mozilla已经承认收到受入侵的报告，且确认了这两个漏洞的武器化，但没有透露任何与入侵有关的技术细节，也没有透露利用这些漏洞的恶意者的身份。鉴于这些漏洞正被积极利用，建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

漏洞详情

CVE-2022-26485 在处理过程中删除XSLT参数可能会导致可利用的Use-After-Free漏洞。

CVE-2022-26486 WebGPU IPC框架中一个意料之外的消息可能会导致Use-After-Free漏洞和可利用的sandbox escape。

漏洞编号

CVE-2022-26485、CVE-2022-26486

漏洞危害

攻击者能够利用Use-after-free（释放后使用）漏洞导致程序崩溃，或在未经许可的情况下在设备上执行命令。

漏洞等级

高危
受影响版本

Firefox版本<97.0.2

Firefox ESR版本<91.6.1

Firefox for Android版本<97.3

Focus版本<97.3

Thunderbird版本<91.6.2

修复方案

鉴于这些漏洞正被积极利用，建议用户受影响用户及时升级更新到以下版本：

Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

下载链接：https://www.firefox.com.cn/

参考链接

1、https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html