Zero-day zraniteľnosti produktov Mozilla

Spoločnosť Mozilla opravila dve zero-day zraniteľnosti, ktoré sa týkali vybraných produktov. Zraniteľnosti sú vysokej závažnosti s CVSS skóre 8.4.

Opis činnosti:

CVE-2022-26485, CVE-2022-26486

Spoločnosť Mozilla opravila dve závažné zero-day zraniteľnosti v produktoch Firefox, Focus a Thunderbird, ktoré objavili výskumníci spoločnosti Qihoo 360. Obe súvisia s použitím dealokovaného miesta v pamäti.

Zraniteľnosť CVE-2022-26485 s hodnotením CVSSv3.1 8.4 súvisí s vymazaním parametra XSLT pri spracovávaní XML dokumentu. To umožňuje útočníkovi využiť dealokované miesto v pamäti, pomocou čoho môže vykonať vlastný škodlivý kód.

Zraniteľnosť CVE-2022-26486 s hodnotením CVSSv3.1 8.4 súvisí s chybou platformy WebGPU IPC, kde môže útočník zneužitím dealokovaného miesta v pamäti opustiť sandbox prehliadača, a tak vykonávať škodlivý kód v rámci systému.

Zraniteľné systémy:

  • Firefox
  • Firefox ESR
  • Firefox for Android
  • Focus
  • Thunderbird

Závažnosť zraniteľnosti: Vysoká

Možné škody:

  • Vzdialené vykonávanie kódu
  • Sandbox escape

Odporúčania:

Bezodkladná aktualizácia nasledovných softvérov aspoň na tieto verzie:

  • Firefox 97.0.2,
  • Firefox ESR 91.6.1,
  • Firefox for Android 97.3,
  • Focus 97.3,
  • Thunderbird 91.6.2.

Odkazy:

https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html

https://www.helpnetsecurity.com/2022/03/07/cve-2022-26485-cve-2022-26486/