聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
这两个0day漏洞均为“释放后使用”漏洞。当程序尝试使用此前被清空的内存时即可触发。当威胁行动者利用这类漏洞时,可导致程序崩溃,同时允许在无需权限的情况下在设备上执行命令。
这些漏洞之所以是严重级别,是因为可导致远程攻击者执行几乎任意命令,包括下载恶意软件,提供设备的进一步访问权限。
Mozilla 修复的0day 是:
-
CVE-2022-26485:XSLT参数处理中的释放后使用漏洞:在处理过程中删除 XSLT 参数可导致可利用的释放后使用漏洞。已存在该漏洞遭在野利用的报告。
-
CVE-2022-26486:WebGPU IPC 框架中的释放后使用漏洞:WebGPU IPC 框架中的异常报文可导致释放后使用漏洞和可利用的沙箱逃逸漏洞。已存在该漏洞遭在野利用的报告。
Mozilla 公司发布安全公告指出,火狐开发人员发现了活跃利用这些漏洞的“在野攻击报告”。
虽然Mozilla 公司并未共享攻击者如何滥用这些0day的详情,但可能是通过将火狐用户重定向至恶意构造的网页而利用。
鉴于这些漏洞的严重性且已遭在野利用,强烈建议所有火狐用户立即更新浏览器。用户也可通过“Firefox 目录>帮助>关于火狐”手动检查更新。火狐将自动检查并更新最新更新,提醒用户重启浏览器。
代码卫士试用地址:https://codesafe.qianxin.com/#/home
开源卫士试用地址:https://oss.qianxin.com
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
苹果发布 iOS 和 macOS 更新,修复已遭利用0day
https://www.bleepingcomputer.com/news/security/mozilla-firefox-9702-fixes-two-actively-exploited-zero-day-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
原文始发于微信公众号(代码卫士):Firefox 97.0.2 修复两个已遭利用的0day
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论