Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。
标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。
XSLT 是一种基于 XML 的语言,用于将 XML 文档转换为网页或 PDF 文档,而 WebGPU 是一种新兴的 web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者。
这两个漏洞的描述如下-
Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱”
Mozilla 承认,“我们收到了这两个漏洞成为攻击武器的报告”,但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。
考虑到这些漏洞,建议用户尽快升级到 Firefox 97.0.2,Firefox ESR 91.6.1,Firefox for Android 97.3.0,Focus 97.3.0和 Thunderbird 91.6.2。