Firefox再爆两个0Day漏洞，建议尽早升级

近日，Mozilla对火狐(Firefox)网络浏览器进行了带外安全更新，其中包含了两个影响很大的安全漏洞。数据显示，这两个漏洞正在被广泛利用。

这两个零日漏洞被追踪为CVE-2022-26485和CVE-2022-26486，被认为属于Use-After-Free 漏洞，其主要影响可扩展样式表语言转换(XSLT)参数处理和WebGPU进程间通信(IPC)框架。

XSLT是一种基于XML的语言，用于将XML文档转换成网页或PDF文档，而WebGPU是一种新兴的web标准，也被认为是当前WebGL JavaScript图形库的继承者。

以下是对这两个缺陷的具体描述：

CVE-2022-26485 – 在处理过程中删除XSLT参数可能会导致可利用的Use-After-Free 漏洞

CVE-2022-26486 – WebGPU IPC框架中一个意料之外的消息可能会导致Use-After-Free漏洞和可利用的sandbox escape

而通过利用Use-After-Free漏洞，这些缺陷可能被用来破坏有效数据，并在受损的系统上执行任意代码。

Mozilla已经承认收到受入侵的报告，且确认了这两个漏洞的武器化，但没有透露任何与入侵有关的技术细节，也没有透露利用这些漏洞的恶意者的身份。

关于本次入侵，外界普遍认为是奇虎360的安全研究人员王刚、刘家磊、杜思航、黄毅和杨康最先发现并报告了这些缺陷。

鉴于这些漏洞正被积极利用，建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Firefox Focus 97.3.0和Firefox Thunderbird 91.6.2版本。

参考来源

https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html