Mozilla wurde aus der Reichweite gedrängt Software-Updates zu seinem Firefox-Webbrowser, weil er Sicherheitslücken mit hoher Auswirkung enthält, von denen beide angeblich aktiv in freier Wildbahn ausgenutzt werden.
Zero-Day-Fehler, die als CVE-2022-26485 und CVE-2022-26486 verfolgt werden Nutzungsprobleme nach kostenlos Auswirkungen auf Sprachumwandlungen für erweiterbare Stylesheets (XSLT) Verarbeitungsparameter und WebGPU Interprozesskommunikation (IPC) Rahmen.
XSLT ist eine XML-basierte Sprache, die zum Konvertieren von XML-Dokumenten in Webseiten oder PDF-Dokumente verwendet wird, während WebGPU ein aufkommender Webstandard ist, der als Nachfolger der aktuellen JavaScript-Grafikbibliothek WebGL beschrieben wurde.
Die beiden Mängel werden unten beschrieben –
- CVE-2022-26485 – Das Entfernen des XSLT-Parameters während der Verarbeitung kann zu einer ausnutzbaren Verwendung nach der Verwendung führen
- CVE-2022-26486 – Eine unerwartete Meldung im WebGPU-IPC-Framework kann zu einem nutzlosen und ausnutzbaren Sandbox-Escape führen
Nutzungsfehler – die ausgenutzt werden können, um gültige Daten zu beschädigen und beliebigen Code auf kompromittierten Systemen auszuführen – stammen hauptsächlich aus „Verwirrung darüber, welcher Teil des Programms für die Freigabe von Speicher verantwortlich ist“.
Mozilla räumte ein, dass „wir Berichte über Angriffe in freier Wildbahn haben“, die beide Schwachstellen zu Waffen machen, hat aber keine technischen Details der Verstöße oder die Identität der böswilligen Akteure, die sie ausnutzen, preisgegeben.
Den Sicherheitsforschern Wang Gang, Liu Jialei, Du Sihang, Huang Yi und Yang Kang von Qihoo 360 ATA wird zugeschrieben, die Mängel entdeckt und gemeldet zu haben.
Angesichts der aktiven Ausnutzung von Schwachstellen wird Nutzern empfohlen, möglichst bald auf Firefox 97.0.2, Firefox ESR 91.6.1, Firefox für Android 97.3.0, Focus 97.3.0 und Thunderbird 91.6.2 umzusteigen.
„Professioneller Internet-Junkie. Bacon-Fanatiker. Freundlicher Gamer. Bierfreak. Analyst. Twitter-Fan.“
More Stories
Nachfolgend sind die Themen zusammengefasst
Samsung hat sein erstes Galaxy Unpacked-Event in Südkorea angekündigt
Der neu gestaltete Startbildschirm von Google Messages lässt die Navigationsleiste verschwinden [U: Beta]