Mozilla bant dışına itti yazılım güncellemeleri Her ikisi de vahşi doğada aktif olarak istismar edildiğini söylediği iki yüksek etkili güvenlik açığını içerecek şekilde Firefox web tarayıcısına.
CVE-2022-26485 ve CVE-2022-26486 olarak izlenen sıfır gün kusurları şu şekilde tanımlanmıştır: ücretsiz kullanım sonrası sorunları Genişletilebilir Stil Sayfası Dil Dönüşümlerini etkileyen (XSLT) parametre işleme ve WebGPU süreçler arası iletişim (IPC) Çerçeve.
XSLT, XML belgelerinin web sayfalarına veya PDF belgelerine dönüştürülmesi için kullanılan XML tabanlı bir dilken, WebGPU, mevcut WebGL JavaScript grafik kitaplığının halefi olarak faturalandırılan, gelişmekte olan bir web standardıdır.
İki kusurun açıklaması aşağıdadır –
- CVE-2022-26485 – İşleme sırasında bir XSLT parametresinin kaldırılması, sömürülebilir bir ücretsiz kullanım sonrası kullanıma yol açabilir
- CVE-2022-26486 – WebGPU IPC çerçevesindeki beklenmeyen bir mesaj, kullanım sonrası ücretsiz ve sömürülebilir bir sanal alan kaçışına yol açabilir
Geçerli verileri bozmak ve güvenliği ihlal edilmiş sistemlerde rastgele kod yürütmek için kullanılabilecek ücretsiz kullanım sonrası hatalar, temel olarak “hafızayı boşaltmaktan programın hangi bölümünün sorumlu olduğu konusundaki kafa karışıklığından” kaynaklanır.
Mozilla, iki güvenlik açığını silahlandıran “vahşi doğada saldırı raporları aldık” ancak izinsiz girişlerle veya bunları kullanan kötü niyetli aktörlerin kimlikleriyle ilgili herhangi bir teknik ayrıntı paylaşmadı.
Qihoo 360 ATA’dan güvenlik araştırmacıları Wang Gang, Liu Jialei, Du Sihang, Huang Yi ve Yang Kang, eksiklikleri keşfetme ve bildirme konusunda itibar kazandılar.
Firefox’ta sıfır günden yararlanan hedefli saldırılar, Apple Safari ve Google Chrome ile karşılaştırıldığında nispeten nadir bir olay olsa da, Mozilla daha önce ele almıştı. üç aktif olarak yararlanılan kusurlar 2020’de ve 1 2019 yılında.
Kusurların aktif olarak kullanılması ışığında, kullanıcıların mümkün olan en kısa sürede Firefox 97.0.2, Firefox ESR 91.6.1, Android 97.3.0 için Firefox, Focus 97.3.0 ve Thunderbird 91.6.2’ye yükseltmeleri önerilir.
Güncelleme: ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) Pazartesi günü katma diğer dokuz hatayla birlikte iki Firefox sıfırıncı gün güvenlik açığı Bilinen Sömürülen Güvenlik Açıkları Kataloğufederal kurumların düzeltmeleri 21 Mart 2022’ye kadar uygulamalarını şart koşuyor.