Mozilla is uit de band geduwd software updates naar zijn Firefox-webbrowser om twee belangrijke beveiligingsproblemen te bevatten, die beide naar eigen zeggen actief in het wild worden uitgebuit.
Bijgehouden als CVE-2022-26485 en CVE-2022-26486, zijn de zero-day-fouten beschreven als use-after-free problemen invloed hebben op de taaltransformaties van de uitbreidbare stylesheet (XSLT) parameterverwerking en de WebGPU-communicatie tussen processen (IPC) Kader.
XSLT is een op XML gebaseerde taal die wordt gebruikt voor de conversie van XML-documenten naar webpagina’s of PDF-documenten, terwijl WebGPU een opkomende webstandaard is die wordt aangekondigd als een opvolger van de huidige WebGL JavaScript grafische bibliotheek.
De beschrijving van de twee gebreken staat hieronder –
- CVE-2022-26485 – Het verwijderen van een XSLT-parameter tijdens de verwerking kan leiden tot een exploiteerbare use-after-free
- CVE-2022-26486 – Een onverwacht bericht in het WebGPU IPC-framework kan leiden tot een gebruik-na-free en exploiteerbare sandbox-escape
Use-after-free-bugs – die kunnen worden misbruikt om geldige gegevens te corrumperen en willekeurige code uit te voeren op gecompromitteerde systemen – komen voornamelijk voort uit een “verwarring over welk deel van het programma verantwoordelijk is voor het vrijmaken van het geheugen.”
Mozilla erkende dat “we meldingen hebben gehad van aanvallen in het wild” die de twee kwetsbaarheden bewapenen, maar deelde geen technische details met betrekking tot de indringers of de identiteit van de kwaadwillende actoren die ze uitbuiten.
Beveiligingsonderzoekers Wang Gang, Liu Jialei, Du Sihang, Huang Yi en Yang Kang van Qihoo 360 ATA zijn gecrediteerd voor het ontdekken en rapporteren van de tekortkomingen.
In het licht van de actieve exploitatie van de gebreken, wordt gebruikers aangeraden zo snel mogelijk te upgraden naar Firefox 97.0.2, Firefox ESR 91.6.1, Firefox voor Android 97.3.0, Focus 97.3.0 en Thunderbird 91.6.2.
