As falhas que se encontram a ser ativamente exploradas são as seguintes:
CVE-2022-26485
- No parâmetro XSLT ou Extensible Stylesheet Language Transformations, uma linguagem com base em XML usada para a conversão de documentos XML em páginas web ou documentos em PDF. A falha reside na remoção do parâmetro aquando do processamento, levando a um use-after-free, isto é, uso incorreto da memória dinâmica
CVE-2022-26486
- falha na framework WebGPU, em que uma mensagem não expetável pode levar também a uma falha use-after-free e depois a um escape da sandbox
No geral, falhas use-after-free são usadas para explorar dados corrompidos e executar código arbitrário nos sistemas afetados.
Solução
- Firefox 97.0.2
- Firefox ESR 91.6.1
- Firefox for Android 97.3.0
- Focus 97.3.0
- Thunderbird 91.6.2
Advisory oficial da Mozilla: https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/#CVE-2022-26485
Mais informações: https://www.bleepingcomputer.com/news/security/mozilla-firefox-9702-fixes-two-actively-exploited-zero-day-bugs/
Comments