Mozilla, CVE-2022-26485 ve CVE-2022-26485 olarak izlenen birkaç kritik sıfırıncı gün güvenlik açığını gidermek için Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 için Firefox ve Focus 97.3.0'ı yayınladı. , saldırılarda aktif olarak istismar edildi.
İki güvenlik açığı, sırasıyla XSLT parametre işleme ve WebGPU IPC Çerçevesindeki "Ücretsiz kullanım" sorunlarıdır.
Kusurların başarılı bir şekilde kullanılması, bir programın çökmesine veya makinede rastgele komutların yürütülmesine neden olabilir.
Mozilla tarafından yayınlanan danışma belgesinde yer alan her iki kusurun açıklaması aşağıdadır:
- CVE-2022-26485: İşlem sırasında bir XSLT parametresinin kaldırılması, ücretsiz kullanım sonrası kullanıma yol açabilirdi. Bu kusuru kötüye kullanan vahşi saldırılarla ilgili raporlar aldık.
- CVE-2022-26486: WebGPU IPC çerçevesindeki beklenmeyen bir mesaj, kullanım sonrası ücretsiz ve kötüye kullanılabilir korumalı alan kaçışına neden olabilir.
"Bu kusuru kötüye kullanan vahşi saldırılarla ilgili raporlar aldık." her iki sorun için de tavsiyeyi okur.
Mozilla, saldırılarla ilgili ayrıntıları paylaşmadı.
Bu güvenlik açıkları, Çinli siber güvenlik firması Qihoo 360 ATA'nın güvenlik araştırmacıları tarafından bildirildi.
Kullanıcıların güvenlik güncellemelerini hemen yüklemeleri önerilir.