安全通告
Mozilla Firefox Use-after-free漏洞安全风险通告
发布日期:2022-3-9
漏洞描述
近日,监测到Mozilla对火狐(Firefox)网络浏览器进行了带外安全更新,其中包含了两个影响很大的安全漏洞。数据显示,这两个漏洞正在被广泛利用。这两个零日漏洞被追踪为CVE-2022-26485和CVE-2022-26486,被认为属于Use-After-Free 漏洞,其主要影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架。攻击者能够利用它们导致程序崩溃,或在未经许可的情况下在设备上执行命令。
Mozilla已经承认收到受入侵的报告,且确认了这两个漏洞的武器化,但没有透露任何与入侵有关的技术细节,也没有透露利用这些漏洞的恶意者的身份。鉴于这些漏洞正被积极利用,建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。
漏洞详情
CVE-2022-26485 在处理过程中删除XSLT参数可能会导致可利用的Use-After-Free漏洞。
CVE-2022-26486 WebGPU IPC框架中一个意料之外的消息可能会导致Use-After-Free漏洞和可利用的sandbox escape。
漏洞编号
CVE-2022-26485、CVE-2022-26486
漏洞危害
攻击者能够利用Use-after-free(释放后使用)漏洞导致程序崩溃,或在未经许可的情况下在设备上执行命令。
漏洞等级
高危
受影响版本
Firefox版本<97.0.2
Firefox ESR版本<91.6.1
Firefox for Android版本<97.3
Focus版本<97.3
Thunderbird版本<91.6.2
修复方案
鉴于这些漏洞正被积极利用,建议用户受影响用户及时升级更新到以下版本:
Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。
下载链接:https://www.firefox.com.cn/
参考链接
1、https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html