Mozilla is buiten bereik geduwd Software updates naar zijn Firefox-webbrowser voor het bevatten van grote beveiligingslekken, waarvan beide zegt dat ze actief in het wild worden uitgebuit.
Zero-day-defecten bijgehouden als CVE-2022-26485 en CVE-2022-26486 Gebruiksproblemen na gratis Impact op uitbreidbare stylesheet-taaltransformaties (XSLT) verwerkingsparameters en WebGPU communicatie tussen processen (IPC) kader.
XSLT is een op XML gebaseerde taal die wordt gebruikt om XML-documenten om te zetten in webpagina’s of PDF-documenten, terwijl WebGPU een opkomende webstandaard is die is beschreven als een opvolger van de huidige WebGL JavaScript grafische bibliotheek.
De twee gebreken worden hieronder beschreven –
- CVE-2022-26485 – Het verwijderen van de XSLT-parameter tijdens de verwerking kan leiden tot misbruik na gebruik
- CVE-2022-26486 – Een onverwacht bericht in het WebGPU IPC-framework kan leiden tot een nutteloze en exploiteerbare sandbox-escape
Gebruiksfouten – die kunnen worden misbruikt om geldige gegevens te corrumperen en willekeurige code uit te voeren op gecompromitteerde systemen – komen voornamelijk voort uit “verwarring over welk deel van het programma verantwoordelijk is voor het vrijmaken van geheugen”.
Mozilla erkende dat “we meldingen hebben van aanvallen in het wild” die beide kwetsbaarheden bewapenen, maar heeft geen technische details gedeeld over de inbreuken of de identiteit van de kwaadwillende actoren die ze exploiteren.
Beveiligingsonderzoekers Wang Gang, Liu Jialei, Du Sihang, Huang Yi en Yang Kang van Qihoo 360 ATA worden gecrediteerd voor het ontdekken en rapporteren van de tekortkomingen.
Gezien de actieve exploitatie van fouten, wordt gebruikers aangeraden zo snel mogelijk te upgraden naar Firefox 97.0.2, Firefox ESR 91.6.1, Firefox voor Android 97.3.0, Focus 97.3.0 en Thunderbird 91.6.2.
“Proud coffee guru. Web pioneer. Internet expert. Social media specialist.”