帮助文档>网络安全 > Firefox近日再爆两个0Day漏洞,建议广大网络尽早升级

Firefox近日再爆两个0Day漏洞,建议广大网络尽早升级

发布时间:2022-03-08 13:50


近日,Mozilla对火狐(Firefox)网络浏览器进行了带外安全更新,其中包含了两个影响很大的安全漏洞。数据显示,这两个漏洞正在被广泛利用。

这两个零日漏洞被追踪为CVE-2022-26485和CVE-2022-26486,被认为属于Use-After-Free 漏洞,其主要影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架。

XSLT是一种基于XML的语言,用于将XML文档转换成网页或PDF文档,而WebGPU是一种新兴的web标准,也被认为是当前WebGL JavaScript图形库的继承者。

以下是对这两个缺陷的具体描述:

CVE-2022-26485 - 在处理过程中删除XSLT参数可能会导致可利用的Use-After-Free 漏洞

CVE-2022-26486 - WebGPU IPC框架中一个意料之外的消息可能会导致Use-After-Free漏洞和可利用的sandbox escape

而通过利用Use-After-Free漏洞,这些缺陷可能被用来破坏有效数据,并在受损的系统上执行任意代码。

Mozilla已经承认收到受入侵的报告,且确认了这两个漏洞的武器化,但没有透露任何与入侵有关的技术细节,也没有透露利用这些漏洞的恶意者的身份。

关于本次入侵,外界普遍认为是奇虎360的安全研究人员王刚、刘家磊、杜思航、黄毅和杨康最先发现并报告了这些缺陷。

鉴于这些漏洞正被积极利用,建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

本文导读

客户热线:037125966675

客户服务中心
云产品 服务器 合 作                  Skype