Mozilla今天发布了Firefox v97.0.2。“带外”更新不包含任何功能,但修补了两个列为“严重”的错误。用户必须紧急应用更新,因为 Mozilla 已确认这两个安全漏洞都被积极利用。
Mozilla Firefox 97.0.2 更新包含两个零日漏洞的补丁,这些漏洞目前“在野外”活跃。Mozilla 在“ Mozilla Foundation Security Advisory 2022-09 ”中表示:“我们收到了关于滥用 [这些] 漏洞的攻击的报告。”
安全公告对细节很清楚,大概是因为 Mozilla 不希望攻击者获得有关如何利用漏洞的技术方面的访问权限。尽管如此,它确实提供了有关这两个缺陷的一些细节,这些缺陷被标记为“严重”:
- CVE-2022-26485(XSLT 参数处理中的 Use-after-free):此漏洞已被用于远程代码执行 (RCE),这意味着在计算机上没有现有权限或帐户的攻击者可能会运行他们选择的恶意软件代码在受害者的计算机上,只需将毫无戒心的用户引诱到一个看似无辜但带有恶意软件的网站。
- CVE-2022-26486(WebGPU IPC 框架中的Use-after-free):此错误是“沙盒逃逸”的一部分。这种安全漏洞可以单独被滥用(攻击者可以访问本应禁止访问的文件),也可以与 RCE 错误结合使用,以允许种子恶意软件从浏览器部署的安全边界中逃脱。
这两个安全漏洞都被列为“Use-after-free”错误。在编程术语中,这指的是应用程序表明其打算停止访问系统内存,本质上是“释放它”以供其他应用程序使用。但是,在某些情况下,应用程序可能会继续使用或占用系统内存。这会对等待轮到它们访问内存的其他应用程序产生不利影响。
通常,这会导致程序崩溃,但有时,甚至数据也会损坏。不用说,这两种情况都可以被认为是安全问题。攻击者还可以利用这些问题来欺骗程序运行不受信任的代码。
要更新 Mozilla Firefox,请转到Application Menu,单击Help > About Firefox。由于这是一个小的带外安全更新,因此没有受控推出。顺便说一句,除了普通用户的 Firefox v97 之外,该更新还适用于 Firefox 91.6.1 ESR(扩展支持版本)和 Firefox 97.3.0 for Android。