99久久国产综合精品国_亚洲av日韩aⅴ电影_午夜福利在线电影_亚洲aⅤ色欲久久一区二区三区_91九色蝌蚪国产精品_亚洲av无码乱码在线观看四虎_4国产精品无码制服丝袜_亚洲Av成人五月天在线观看_牛牛成人永久免费视频_午夜福利在线资源

安全通告

Mozilla Firefox Use-after-free漏洞安全風(fēng)險(xiǎn)通告

發(fā)布日期：2022-3-9

?

漏洞描述

近日，監(jiān)測(cè)到Mozilla對(duì)火狐(Firefox)網(wǎng)絡(luò)瀏覽器進(jìn)行了帶外安全更新，其中包含了兩個(gè)影響很大的安全漏洞。數(shù)據(jù)顯示，這兩個(gè)漏洞正在被廣泛利用。這兩個(gè)零日漏洞被追蹤為CVE-2022-26485和CVE-2022-26486，被認(rèn)為屬于Use-After-Free 漏洞，其主要影響可擴(kuò)展樣式表語(yǔ)言轉(zhuǎn)換(XSLT)參數(shù)處理和WebGPU進(jìn)程間通信(IPC)框架。攻擊者能夠利用它們導(dǎo)致程序崩潰，或在未經(jīng)許可的情況下在設(shè)備上執(zhí)行命令。

Mozilla已經(jīng)承認(rèn)收到受入侵的報(bào)告，且確認(rèn)了這兩個(gè)漏洞的武器化，但沒有透露任何與入侵有關(guān)的技術(shù)細(xì)節(jié)，也沒有透露利用這些漏洞的惡意者的身份。鑒于這些漏洞正被積極利用，建議用戶盡快升級(jí)到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

漏洞詳情

CVE-2022-26485 在處理過程中刪除XSLT參數(shù)可能會(huì)導(dǎo)致可利用的Use-After-Free漏洞。

CVE-2022-26486 WebGPU IPC框架中一個(gè)意料之外的消息可能會(huì)導(dǎo)致Use-After-Free漏洞和可利用的sandbox escape。

漏洞編號(hào)

CVE-2022-26485、CVE-2022-26486

漏洞危害

攻擊者能夠利用Use-after-free（釋放后使用）漏洞導(dǎo)致程序崩潰，或在未經(jīng)許可的情況下在設(shè)備上執(zhí)行命令。

漏洞等級(jí)

高危
受影響版本

Firefox版本<97.0.2

Firefox ESR版本<91.6.1

Firefox for Android版本<97.3

Focus版本<97.3

Thunderbird版本<91.6.2

修復(fù)方案

鑒于這些漏洞正被積極利用，建議用戶受影響用戶及時(shí)升級(jí)更新到以下版本：

Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

下載鏈接：https://www.firefox.com.cn/

參考鏈接

1、https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html