2 Yeni Mozilla Firefox 0-Günlük Hataları Aktif Saldırı Altında – Tarayıcınızı En Kısa Sürede Düzeltin!

Mozilla menzil dışına itildi Yazılım güncellemeleri Her ikisi de vahşi doğada aktif olarak istismar edildiğini söylediği yüksek etkili güvenlik açıklarını içermesi için Firefox web tarayıcısına.

CVE-2022-26485 ve CVE-2022-26486 olarak izlenen sıfır gün kusurları Ücretsizden sonra kullanım sorunları Genişletilebilir Stil Sayfası Dil Dönüşümleri Üzerindeki Etki (XSLT) işleme parametreleri ve WebGPU’su arası iletişim (IPC) çerçeve.

XSLT, XML belgelerini web sayfalarına veya PDF belgelerine dönüştürmek için kullanılan XML tabanlı bir dilken, WebGPU, mevcut WebGL JavaScript grafik kitaplığının halefi olarak tanımlanan, gelişmekte olan bir web standardıdır.

İki kusur aşağıda açıklanmıştır –

• CVE-2022-26485 – İşlem sırasında XSLT parametresinin kaldırılması, kullanımdan sonra kötüye kullanılabilir kullanıma neden olabilir
• CVE-2022-26486 – WebGPU IPC çerçevesindeki beklenmedik bir mesaj, işe yaramaz ve sömürülebilir bir sanal alan kaçışına yol açabilir

Geçerli verileri bozmak ve güvenliği ihlal edilmiş sistemlerde rastgele kod yürütmek için kullanılabilen kullanım hataları, temel olarak “programın hangi bölümünün belleği boşaltmaktan sorumlu olduğu konusundaki kafa karışıklığından” kaynaklanır.

Mozilla, her iki güvenlik açığını da silah haline getiren “vahşi doğada saldırılara ilişkin raporlarımız olduğunu” kabul etti, ancak ihlallerin teknik ayrıntılarını veya bunları kullanan kötü niyetli aktörlerin kimliklerini paylaşmadı.

Qihoo 360 ATA’dan güvenlik araştırmacıları Wang Gang, Liu Jialei, Du Sihang, Huang Yi ve Yang Kang, eksiklikleri keşfetme ve bildirme konusunda itibar kazanıyor.

Kusurların aktif olarak kullanılması göz önüne alındığında, kullanıcıların mümkün olan en kısa sürede Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 için Firefox, Focus 97.3.0 ve Thunderbird 91.6.2’ye yükseltmeleri önerilir.