2 个新的 Mozilla Firefox 0-Day 漏洞受到主动攻击 – 尽快更正您的浏览器！

Mozilla 已超出范围 软件更新 其 Firefox 网络浏览器包含具有高影响力的安全漏洞，据称这两个漏洞都在野外被积极利用。

零日缺陷跟踪为 CVE-2022-26485 和 CVE-2022-26486 免费后的使用问题 对可扩展样式表语言转换的影响 (XSLT) 处理参数和 网络GPU 进程间通信（工业PC） 框架。

XSLT 是一种基于 XML 的语言，用于将 XML 文档转换为网页或 PDF 文档，而 WebGPU 是一种新兴的 Web 标准，被描述为当前 WebGL JavaScript 图形库的继承者。

这两个缺陷描述如下 –

• CVE-2022-26485 – 在处理过程中删除 XSLT 参数可能会导致使用后被利用
• CVE-2022-26486 – WebGPU IPC 框架中的意外消息可能导致无用且可利用的沙箱逃逸

使用错误——可以被利用来破坏有效数据并在受感染的系统上执行任意代码——主要源于“对程序的哪个部分负责释放内存的混淆”。

Mozilla 承认，“我们有关于野外攻击的报告”将这两个漏洞作为武器，但没有分享任何有关漏洞的技术细节或利用它们的恶意行为者的身份。

奇虎 360 ATA 的安全研究人员王刚、刘家磊、杜思航、黄毅和杨康因发现并报告了这些缺陷而受到赞誉。

鉴于漏洞被积极利用，建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Focus 97.3.0和Thunderbird 91.6.2。