2 Bug 0-Hari Mozilla Firefox Baru Di Bawah Serangan Aktif – Perbaiki Browser Anda ASAP!

Mozilla telah dikeluarkan dari jangkauan Pembaruan perangkat lunak ke browser web Firefox karena mengandung lubang keamanan berdampak tinggi, yang keduanya dikatakan dieksploitasi secara aktif di alam liar.

Cacat zero-day dilacak sebagai CVE-2022-26485 dan CVE-2022-26486 Masalah penggunaan setelah gratis Dampak pada Transformasi Bahasa Stylesheet yang Dapat Diperluas (XSLT) parameter pemrosesan dan WebGPU komunikasi antar proses (IPC) kerangka.

XSLT adalah bahasa berbasis XML yang digunakan untuk mengubah dokumen XML menjadi halaman web atau dokumen PDF, sedangkan WebGPU adalah standar web baru yang telah digambarkan sebagai penerus pustaka grafis JavaScript WebGL saat ini.

Kedua cacat dijelaskan di bawah ini –

• CVE-2022-26485 – Menghapus parameter XSLT selama pemrosesan dapat mengakibatkan penggunaan yang dapat dieksploitasi setelah digunakan
• CVE-2022-26486 – Pesan tak terduga dalam kerangka kerja IPC WebGPU dapat menyebabkan pelarian kotak pasir yang tidak berguna dan dapat dieksploitasi

Kesalahan penggunaan – yang dapat dieksploitasi untuk merusak data yang valid dan mengeksekusi kode arbitrer pada sistem yang disusupi – terutama berasal dari “kebingungan tentang bagian mana dari program yang bertanggung jawab untuk membebaskan memori”.

Mozilla mengakui bahwa “kami memiliki laporan serangan di alam liar” yang mempersenjatai kedua kerentanan tetapi belum membagikan rincian teknis pelanggaran atau identitas aktor jahat yang mengeksploitasinya.

Peneliti keamanan Wang Gang, Liu Jialei, Du Sihang, Huang Yi dan Yang Kang dari Qihoo 360 ATA dipuji karena menemukan dan melaporkan kekurangannya.

Mengingat eksploitasi kelemahan secara aktif, pengguna disarankan untuk meningkatkan sesegera mungkin ke Firefox 97.0.2, Firefox ESR 91.6.1, Firefox untuk Android 97.3.0, Focus 97.3.0 dan Thunderbird 91.6.2.