Mozilla 已经发布了 Firefox 浏览器的紧急安全更新,因为该公司表示它知道在不同版本的应用程序中发现了两个不同的漏洞。
在本周发布的公告中,Mozilla 解释说新补丁可用于Firefox、Firefox ESR、Firefox for Android 和 Focus。
用户现在可以下载的新版本是 Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0 和 Focus 97.3.0。
安全漏洞
使用这些新更新修补的第一个安全漏洞记录在 CVE-2022-26485 中,它在 XSLT 参数处理中被描述为释放后使用。该漏洞由 360 ATA 的王刚、刘嘉磊、杜思航、黄毅和杨康报告,严重程度为严重等级。
“在处理过程中删除 XSLT 参数可能会导致可利用的释放后使用。我们收到了有关滥用此漏洞的攻击的报告,”Mozilla 说。
第二个漏洞被标记为 CVE-2022-26486,它是 WebGPU IPC 框架中的 use-after-free。相同的安全研究人员发现并报告了此漏洞。
“WebGPU IPC 框架中的意外消息可能导致释放后使用和可利用的沙盒逃逸。我们收到了有关滥用此漏洞的攻击的报告,”Mozilla 解释说。
新的 Firefox 版本现在可以从典型渠道下载,值得知道这些更新中没有其他改进。换句话说,他们唯一的重点是解决报告的安全漏洞,鉴于它们都被认为是关键的,建议用户尽快安装它们。
在这两种情况下,Mozilla 表示它已经意识到在野外发生的攻击并且应该滥用这些缺陷,因此不用说公司不应该以任何方式延迟修补。
