2 yeni Mozilla Firefox 0-gün hatası etkin – tarayıcınızı yakında bağlayın!

Mozilla gruptan atıldı Yazılım güncellemeleri Firefox web tarayıcısı, her ikisinin de vahşi ortamda aktif olarak kullanıldığı söylenen iki yüksek etkili güvenlik açığına sahiptir.

CVE-2022-26485 ve CVE-2022-26486 olarak izlenen sıfır gün kusurları aşağıdaki gibi tanımlanır Kullanımdan sonra mevcut olmayan sorunlar Genişletilebilir stil sayfası dil değişikliklerini etkiler (XSLT) Parametre işleme ve WebGPU’su Etkileşimler arası iletişim (IPC) Yapı.

XSLT, XML belgelerini web sayfalarına veya PDF belgelerine dönüştürmek için kullanılan XML tabanlı bir dilken WebGPU, mevcut WebGL JavaScript grafik kitaplığının halefi olarak kabul edilen büyüyen bir İnternet standardıdır.

Aşağıda iki eksikliğin bir açıklaması bulunmaktadır –

• CVE-2022-26485 – İşlem sırasında bir XSLT parametresinin kaldırılması, ücretsiz kullanım sonrası kullanıma yol açacaktır
• CVE-2022-26486 – WebGPU IPC yapılandırmasında beklenmeyen mesaj, var olmayan ve kötüye kullanım amaçlı sanal alan kaçışlarına yol açabilir

Geçerli verilerin şifresini çözmek ve güvenliği ihlal edilmiş sistemlerde rastgele kod yürütmek için kullanılabilen uygulama sonrası olmayan hatalar, temel olarak “belleğin hangi bölümünün belleği boşalttığı konusundaki kafa karışıklığından” kaynaklanır.

Mozilla, iki kurbanı silahlandırmak için “ormanda saldırı raporları aldığımızı” kabul etti, ancak izinsiz girişler veya kötü niyetli aktörlerin kimlikleriyle ilgili herhangi bir teknik ayrıntı paylaşmadı.

Qihoo 360 ATA Wang Kang, Liu Jiali, Du Xihang, Huang Yi ve Yang Kong’daki güvenlik analistleri kusurları belirledi ve bildirdi.

Etkin kusurların ışığında, kullanıcıların yakında Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 için Firefox, Focus 97.3.0 ve Thunderbird 91.6.2’ye yükseltmeleri önerilir.