Mozilla menzil dışına itildi Yazılım güncellemeleri Her ikisi de vahşi doğada aktif olarak istismar edildiğini söylediği yüksek etkili güvenlik açıklarını içermesi için Firefox web tarayıcısına.
CVE-2022-26485 ve CVE-2022-26486 olarak izlenen sıfır gün kusurları Ücretsizden sonra kullanım sorunları Genişletilebilir Stil Sayfası Dil Dönüşümleri Üzerindeki Etki (XSLT) işleme parametreleri ve WebGPU’su arası iletişim (IPC) çerçeve.
XSLT, XML belgelerini web sayfalarına veya PDF belgelerine dönüştürmek için kullanılan XML tabanlı bir dilken, WebGPU, mevcut WebGL JavaScript grafik kitaplığının halefi olarak tanımlanan, gelişmekte olan bir web standardıdır.
İki kusur aşağıda açıklanmıştır –
- CVE-2022-26485 – İşlem sırasında XSLT parametresinin kaldırılması, kullanımdan sonra kötüye kullanılabilir kullanıma neden olabilir
- CVE-2022-26486 – WebGPU IPC çerçevesindeki beklenmedik bir mesaj, işe yaramaz ve sömürülebilir bir sanal alan kaçışına yol açabilir
Geçerli verileri bozmak ve güvenliği ihlal edilmiş sistemlerde rastgele kod yürütmek için kullanılabilen kullanım hataları, temel olarak “programın hangi bölümünün belleği boşaltmaktan sorumlu olduğu konusundaki kafa karışıklığından” kaynaklanır.
Mozilla, her iki güvenlik açığını da silah haline getiren “vahşi doğada saldırılara ilişkin raporlarımız olduğunu” kabul etti, ancak ihlallerin teknik ayrıntılarını veya bunları kullanan kötü niyetli aktörlerin kimliklerini paylaşmadı.
Qihoo 360 ATA’dan güvenlik araştırmacıları Wang Gang, Liu Jialei, Du Sihang, Huang Yi ve Yang Kang, eksiklikleri keşfetme ve bildirme konusunda itibar kazanıyor.
Kusurların aktif olarak kullanılması göz önüne alındığında, kullanıcıların mümkün olan en kısa sürede Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 için Firefox, Focus 97.3.0 ve Thunderbird 91.6.2’ye yükseltmeleri önerilir.
“Coffee enthusiast. Introvert. Proud problem solver. Explorer. Friendly music enthusiast. Zombie nerd.”
More Stories
3D modelleme tutkununun yayınladığı Nintendo Switch 2 tasarımları internet kullanıcılarını güldürüyor
Apple, iPhone 16 ve iPhone 16 Plus pillerinin düşük voltajlı elektrik akımı kullanılarak çıkarılabileceğini söylüyor
Apple, çökme raporlarının ardından iPad Pro M4 için iPadOS 18 güncellemesini durdurdu