Zero-day zraniteľnosti produktov Mozilla

8. marca 2022

Spoločnosť Mozilla opravila dve zero-day zraniteľnosti, ktoré sa týkali vybraných produktov. Zraniteľnosti sú vysokej závažnosti s CVSS skóre 8.4.

Opis činnosti:

CVE-2022-26485, CVE-2022-26486

Spoločnosť Mozilla opravila dve závažné zero-day zraniteľnosti v produktoch Firefox, Focus a Thunderbird, ktoré objavili výskumníci spoločnosti Qihoo 360. Obe súvisia s použitím dealokovaného miesta v pamäti.

Zraniteľnosť CVE-2022-26485 s hodnotením CVSSv3.1 8.4 súvisí s vymazaním parametra XSLT pri spracovávaní XML dokumentu. To umožňuje útočníkovi využiť dealokované miesto v pamäti, pomocou čoho môže vykonať vlastný škodlivý kód.

Zraniteľnosť CVE-2022-26486 s hodnotením CVSSv3.1 8.4 súvisí s chybou platformy WebGPU IPC, kde môže útočník zneužitím dealokovaného miesta v pamäti opustiť sandbox prehliadača, a tak vykonávať škodlivý kód v rámci systému.

Zraniteľné systémy:

Firefox
Firefox ESR
Firefox for Android
Focus
Thunderbird

Závažnosť zraniteľnosti: Vysoká

Možné škody:

Vzdialené vykonávanie kódu
Sandbox escape

Odporúčania:

Bezodkladná aktualizácia nasledovných softvérov aspoň na tieto verzie:

Firefox 97.0.2,
Firefox ESR 91.6.1,
Firefox for Android 97.3,
Focus 97.3,
Thunderbird 91.6.2.

Odkazy:

https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html

https://www.helpnetsecurity.com/2022/03/07/cve-2022-26485-cve-2022-26486/