В минувшие выходные разработчики Mozilla выпустили экстренное обновление безопасности для Firefox. Срочные патчи устранили в браузере две уязвимости нулевого дня, которые уже использовались хакерами в атаках.
Две исправленные уязвимости получили идентификаторы CVE-2022-26485 и CVE-2022-26486 и обе оцениваются как критические. Проблемы относятся к типу use-after-free (программа пытается использовать ранее очищенную память) и обе были обнаружены и исследователями из компании Qihoo 360.
Сообщает, что первая из уязвимостей связана удалением параметра Extensible Stylesheet Language Transformations (XSLT) во время обработки, а вторая ошибка может быть вызвана неожиданным сообщением во фреймворке WebGPU (IPC).
Хотя разработчики не сообщают каких-либо деталей о наблюдаемых попытках эксплуатации этих уязвимостей, баги такого типа обычно позволяют злоумышленникам выполнять произвольный код на целевых системах.
Обе проблемы были решены в релизе Firefox 97.0.2, Firefox ESR 91.6.1, Firefox для Android 97.3.0 и Focus 97.3.0, сообщает Mozilla.
Технические подробности об уязвимости пока тоже не разглашаются. Скорее всего, дополнительная информация будет опубликована после того, как большая часть пользователей установит исправления.
