2 أخطاء جديدة لـ Mozilla Firefox 0-Day تحت الهجوم النشط – تصحيح المتصفح الخاص بك في أسرع وقت ممكن!

لقد دفعت Mozilla إلى الخروج من النطاق تحديثات البرنامج إلى متصفح الويب Firefox الخاص به لاحتواء ثغرات أمنية عالية التأثير ، وكلاهما تقول أنه يتم استغلالهما بنشاط في البرية.

تم تتبع عيوب اليوم صفر على أنها CVE-2022-26485 و CVE-2022-26486 قضايا الاستخدام بعد الحرة التأثير على تحويلات لغة ورقة الأنماط الموسعة (XSLT) معالجة المعلمات و WebGPU اتصال interprocess (IPC) إطار العمل.

XSLT هي لغة قائمة على XML تُستخدم لتحويل مستندات XML إلى صفحات ويب أو مستندات PDF ، في حين أن WebGPU هو معيار ويب ناشئ تم وصفه باعتباره خليفة لمكتبة رسومات WebGL JavaScript الحالية.

وصف العيبين أدناه –

• CVE-2022-26485 – قد تؤدي إزالة معلمة XSLT أثناء المعالجة إلى استخدام قابل للاستغلال بعد الاستخدام
• CVE-2022-26486 – يمكن لرسالة غير متوقعة في إطار عمل WebGPU IPC أن تؤدي إلى هروب رمل خالي من الاستخدام وقابل للاستغلال

أخطاء الاستخدام – التي يمكن استغلالها لإفساد البيانات الصالحة وتنفيذ تعليمات برمجية عشوائية على الأنظمة المخترقة – تنبع أساسًا من “الارتباك حول أي جزء من البرنامج مسؤول عن تحرير الذاكرة”.

أقرت موزيلا بأن “لدينا تقارير عن هجمات في البرية” تقوم بتسليح نقطتي الضعف ولكنها لم تشارك أي تفاصيل تقنية تتعلق بالاختراقات أو هويات الجهات الخبيثة التي تستغلها.

الباحثون الأمنيون Wang Gang و Liu Jialei و Du Sihang و Huang Yi و Yang Kang من Qihoo 360 ATA يُنسب إليهم الفضل في اكتشاف أوجه القصور والإبلاغ عنها.

في ضوء الاستغلال النشط للعيوب ، يوصى المستخدمون بالترقية في أسرع وقت ممكن إلى Firefox 97.0.2 و Firefox ESR 91.6.1 و Firefox لنظام Android 97.3.0 و Focus 97.3.0 و Thunderbird 91.6.2.