venerdì, Dicembre 27, 2024

2 Nuovi bug di Mozilla Firefox 0-Day sotto attacco attivo: correggi il tuo browser il prima possibile!

| Data:

Sotto attacco attivo

Mozilla è stato spinto fuori portata Aggiornamenti software al suo browser Web Firefox per il contenimento di falle di sicurezza ad alto impatto, entrambe sfruttate attivamente in natura.

Difetti zero-day monitorati come CVE-2022-26485 e CVE-2022-26486 Problemi di utilizzo dopo gratis Impatto sulle trasformazioni del linguaggio dei fogli di stile estensibili (XSLT) parametri di elaborazione e WebGPU comunicazione tra processi (IPC) struttura.

Backup automatici su GitHub

XSLT è un linguaggio basato su XML utilizzato per convertire documenti XML in pagine Web o documenti PDF, mentre WebGPU è uno standard Web emergente che è stato descritto come un successore dell’attuale libreria grafica JavaScript WebGL.

I due difetti sono descritti di seguito –

  • CVE-2022-26485 – La rimozione del parametro XSLT durante l’elaborazione può comportare un utilizzo sfruttabile dopo l’uso
  • CVE-2022-26486 – Un messaggio inaspettato nel framework WebGPU IPC può portare a un’escape sandbox inutile e sfruttabile

Gli errori di utilizzo, che possono essere sfruttati per corrompere dati validi ed eseguire codice arbitrario su sistemi compromessi, derivano principalmente dalla “confusione su quale parte del programma è responsabile della liberazione della memoria”.

Prevenire le violazioni dei dati

Mozilla ha riconosciuto che “abbiamo segnalazioni di attacchi in natura” che armano entrambe le vulnerabilità, ma non ha condiviso alcun dettaglio tecnico delle violazioni o identità degli attori malintenzionati che le sfruttano.

I ricercatori di sicurezza Wang Gang, Liu Jialei, Du Sihang, Huang Yi e Yang Kang di Qihoo 360 ATA sono accreditati di aver scoperto e segnalato le carenze.

In considerazione dello sfruttamento attivo dei difetti, si consiglia agli utenti di aggiornare il prima possibile Firefox 97.0.2, Firefox ESR 91.6.1, Firefox per Android 97.3.0, Focus 97.3.0 e Thunderbird 91.6.2.

READ  Belkin ha creato una docking station per iPhone in grado di seguirti in giro per la stanza

Popolare

Altri simili