2 nuevos errores de día 0 de Mozilla Firefox bajo ataque activo: ¡arregle su navegador lo antes posible!

Mozilla se ha alejado de la banda actualizaciones de software El navegador Firefox contiene dos vulnerabilidades de seguridad altamente vulnerables, las cuales se explotan activamente por naturaleza.

Las deficiencias de día cero se describen con los números CVE-2022-26485 y CVE-2022-26486. después de problemas libres afectan las variaciones de idioma de las hojas de estilo extensibles (XSLT) procesamiento de parámetros y WebGPU comunicación entre procesos (CIP) Estructura.

XSLT es un lenguaje basado en XML que se utiliza para convertir documentos XML en páginas web o documentos PDF, mientras que WebGPU es un estándar web emergente anunciado para suceder a la biblioteca de gráficos WebGL JavaScript actual.

La descripción de las dos fallas está a continuación:

• CVE-2022-26485 – La eliminación de un parámetro XSLT durante el procesamiento puede dar lugar a un uso gratuito después de su uso
• CVE-2022-26486 – Un mensaje inesperado en WebGPU IPC puede conducir a una compresión de sandbox gratuita y utilizable después de su uso

Los errores de use-after-free, que pueden explotarse para corromper datos válidos y ejecutar código arbitrario en sistemas comprometidos, se deben principalmente a «confusión sobre qué parte del programa es responsable de liberar memoria».

Mozilla admitió que «hemos recibido informes de ataques en la naturaleza» que han armado las dos vulnerabilidades, pero no proporcionó ningún detalle técnico sobre las intrusiones o las identidades de los actores maliciosos que las explotaron.

Los investigadores de seguridad Wang Gang, Liu Jialei, Du Sihang, Huang Yi y Yang Kangi de Qihoo 360 ATA han sido reconocidos por encontrar y reportar deficiencias.

En vista de la explotación activa de las vulnerabilidades, se recomienda a los usuarios que actualicen a Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0, Focus 97.3.0 y Thunderbird 91.6.2 lo antes posible.