لقد دفعت Mozilla إلى الخروج من النطاق تحديثات البرنامج إلى متصفح الويب Firefox الخاص به لاحتواء ثغرات أمنية عالية التأثير ، وكلاهما تقول أنه يتم استغلالهما بنشاط في البرية.
تم تتبع عيوب اليوم صفر على أنها CVE-2022-26485 و CVE-2022-26486 قضايا الاستخدام بعد الحرة التأثير على تحويلات لغة ورقة الأنماط الموسعة (XSLT) معالجة المعلمات و WebGPU اتصال interprocess (IPC) إطار العمل.
XSLT هي لغة قائمة على XML تُستخدم لتحويل مستندات XML إلى صفحات ويب أو مستندات PDF ، في حين أن WebGPU هو معيار ويب ناشئ تم وصفه باعتباره خليفة لمكتبة رسومات WebGL JavaScript الحالية.
وصف العيبين أدناه –
- CVE-2022-26485 – قد تؤدي إزالة معلمة XSLT أثناء المعالجة إلى استخدام قابل للاستغلال بعد الاستخدام
- CVE-2022-26486 – يمكن لرسالة غير متوقعة في إطار عمل WebGPU IPC أن تؤدي إلى هروب رمل خالي من الاستخدام وقابل للاستغلال
أخطاء الاستخدام – التي يمكن استغلالها لإفساد البيانات الصالحة وتنفيذ تعليمات برمجية عشوائية على الأنظمة المخترقة – تنبع أساسًا من “الارتباك حول أي جزء من البرنامج مسؤول عن تحرير الذاكرة”.
أقرت موزيلا بأن “لدينا تقارير عن هجمات في البرية” تقوم بتسليح نقطتي الضعف ولكنها لم تشارك أي تفاصيل تقنية تتعلق بالاختراقات أو هويات الجهات الخبيثة التي تستغلها.
الباحثون الأمنيون Wang Gang و Liu Jialei و Du Sihang و Huang Yi و Yang Kang من Qihoo 360 ATA يُنسب إليهم الفضل في اكتشاف أوجه القصور والإبلاغ عنها.
في ضوء الاستغلال النشط للعيوب ، يوصى المستخدمون بالترقية في أسرع وقت ممكن إلى Firefox 97.0.2 و Firefox ESR 91.6.1 و Firefox لنظام Android 97.3.0 و Focus 97.3.0 و Thunderbird 91.6.2.
“متحمس لوسائل التواصل الاجتماعي. مهووس بالجعة. متواصل شرير. عاشق لثقافة البوب. عرضة لنوبات اللامبالاة.”
More Stories
تسريبات لعبة Grand Theft Auto 6 ربما جاءت للتو من ابن أحد موظفي Rockstar
Samsung Galaxy S24 Ultra vs OnePlus 12: ما هو الهاتف الرئيسي الذي سيفوز؟
أخيرًا أفهم لماذا يشتري الناس المباني الجاهزة