Mozilla ha sido empujado fuera de rango Actualizaciones de software a su navegador web Firefox por contener agujeros de seguridad de alto impacto, los cuales dice que se explotan activamente en la naturaleza.
Defectos de día cero rastreados como CVE-2022-26485 y CVE-2022-26486 Problemas de uso después de gratis Impacto en las transformaciones del lenguaje de hoja de estilo extensible (XSLT) parámetros de procesamiento y WebGPU comunicación entre procesos (CIP) estructura.
XSLT es un lenguaje basado en XML que se utiliza para convertir documentos XML en páginas web o documentos PDF, mientras que WebGPU es un estándar web emergente que se ha descrito como sucesor de la biblioteca de gráficos WebGL JavaScript actual.
Los dos defectos se describen a continuación:
- CVE-2022-26485 – La eliminación del parámetro XSLT durante el procesamiento puede resultar en un uso explotable después del uso
- CVE-2022-26486 – Un mensaje inesperado en el marco WebGPU IPC puede conducir a un escape de sandbox inútil y explotable
Los errores de uso, que pueden explotarse para corromper datos válidos y ejecutar código arbitrario en sistemas comprometidos, se derivan principalmente de «confusión sobre qué parte del programa es responsable de liberar memoria».
Mozilla reconoció que «tenemos informes de ataques en la naturaleza» que arman ambas vulnerabilidades, pero no ha compartido ningún detalle técnico de las infracciones o las identidades de los actores maliciosos que las explotan.
A los investigadores de seguridad Wang Gang, Liu Jialei, Du Sihang, Huang Yi y Yang Kang de Qihoo 360 ATA se les atribuye el descubrimiento y el informe de las deficiencias.
En vista de la explotación activa de fallas, se recomienda a los usuarios actualizar lo antes posible a Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0, Focus 97.3.0 y Thunderbird 91.6.2.
«Gurú de la comida certificado. Experto en Internet. Adicto al tocino. Entusiasta de la televisión. Escritor ávido. Jugador. Adicto a la cerveza».