Mozilla è stato spinto fuori portata Aggiornamenti software al suo browser Web Firefox per il contenimento di falle di sicurezza ad alto impatto, entrambe sfruttate attivamente in natura.
Difetti zero-day monitorati come CVE-2022-26485 e CVE-2022-26486 Problemi di utilizzo dopo gratis Impatto sulle trasformazioni del linguaggio dei fogli di stile estensibili (XSLT) parametri di elaborazione e WebGPU comunicazione tra processi (IPC) struttura.
XSLT è un linguaggio basato su XML utilizzato per convertire documenti XML in pagine Web o documenti PDF, mentre WebGPU è uno standard Web emergente che è stato descritto come un successore dell’attuale libreria grafica JavaScript WebGL.
I due difetti sono descritti di seguito –
- CVE-2022-26485 – La rimozione del parametro XSLT durante l’elaborazione può comportare un utilizzo sfruttabile dopo l’uso
- CVE-2022-26486 – Un messaggio inaspettato nel framework WebGPU IPC può portare a un’escape sandbox inutile e sfruttabile
Gli errori di utilizzo, che possono essere sfruttati per corrompere dati validi ed eseguire codice arbitrario su sistemi compromessi, derivano principalmente dalla “confusione su quale parte del programma è responsabile della liberazione della memoria”.
Mozilla ha riconosciuto che “abbiamo segnalazioni di attacchi in natura” che armano entrambe le vulnerabilità, ma non ha condiviso alcun dettaglio tecnico delle violazioni o identità degli attori malintenzionati che le sfruttano.
I ricercatori di sicurezza Wang Gang, Liu Jialei, Du Sihang, Huang Yi e Yang Kang di Qihoo 360 ATA sono accreditati di aver scoperto e segnalato le carenze.
In considerazione dello sfruttamento attivo dei difetti, si consiglia agli utenti di aggiornare il prima possibile Firefox 97.0.2, Firefox ESR 91.6.1, Firefox per Android 97.3.0, Focus 97.3.0 e Thunderbird 91.6.2.
“Esperto di Internet. Lettore. Fanatico della TV. Comunicatore amichevole. Esperto di alcolisti certificato. Appassionato di pancetta. Esploratore. Evil twitteraholic.”
