Mozilla為Firefox瀏覽器提供”計劃外更新” 修補兩個關鍵安全漏洞
Mozilla今天發布了Firefox 97.0.2。這個”計劃外更新”更新並不包含任何功能,但修補了兩個被列為”關鍵”的安全漏洞。用戶必須緊急應用該更新,因為Mozilla已經確認這兩個安全漏洞正在被積極利用。
Mozilla Firefox 97.0.2更新包含兩個零日漏洞的補丁,這些漏洞目前在外部呈現活動狀態。在”Mozilla基金會安全諮詢2022-09″中官方表示:”我們已經收到了關於在濫用[這些]缺陷的攻擊報告。”
安全公告的細節不多,可能是因為Mozilla不希望攻擊者獲得關於如何利用這些漏洞的技術方面的信息。儘管如此,它提供了關於這兩個缺陷的一些細節,這兩個缺陷被標記為”關鍵”。
CVE-2022-26485 (漏洞位於XSLT參數處理中)。這個缺陷被用於遠程代碼執行(RCE),這意味著在計算機上沒有現有權限或賬戶的攻擊者可能會在受害者的計算機上運行他們選擇的惡意軟件代碼,只需將用戶引誘到一個看起來無害但充滿惡意軟件的網站。
CVE-2022-26486(漏洞位於WebGPU IPC框架中)。這個漏洞是”沙盒逃脫”的一部分,這種安全漏洞既可以單獨濫用(攻擊者獲得對本應禁止的文件的訪問權),也可以與RCE漏洞結合使用,使播種的惡意軟件從瀏覽器部署的安全圍欄當中逃脫。
這兩個安全缺陷都被列為”自由使用後”的錯誤。在編程方面,這指的是一個應用程序表明它打算停止訪問系統內存,基本上是”釋放”給其他應用程序使用。然而,在某些情況下可能繼續使用或占用系統內存,這可能對其他等待訪問內存的應用程序產生不利影響。通常情況下,這將導致程序崩潰,但有時,甚至數據也會被破壞。這兩種情況都可以被認為是安全問題。攻擊者也可以利用這些問題來欺騙程序運行不受信任的代碼。
要更新Mozilla Firefox,請前往應用程序菜單,點擊幫助>關於Firefox就可以開始升級。除了標準用戶的Firefox 97,該更新也適用於Firefox 91.6.1 ESR(擴展支持版本)和Firefox 97.3.0 for Android。
了解更多:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/