Zero-day zraniteľnosti produktov Mozilla
Spoločnosť Mozilla opravila dve zero-day zraniteľnosti, ktoré sa týkali vybraných produktov. Zraniteľnosti sú vysokej závažnosti s CVSS skóre 8.4.
Opis činnosti:
CVE-2022-26485, CVE-2022-26486
Spoločnosť Mozilla opravila dve závažné zero-day zraniteľnosti v produktoch Firefox, Focus a Thunderbird, ktoré objavili výskumníci spoločnosti Qihoo 360. Obe súvisia s použitím dealokovaného miesta v pamäti.
Zraniteľnosť CVE-2022-26485 s hodnotením CVSSv3.1 8.4 súvisí s vymazaním parametra XSLT pri spracovávaní XML dokumentu. To umožňuje útočníkovi využiť dealokované miesto v pamäti, pomocou čoho môže vykonať vlastný škodlivý kód.
Zraniteľnosť CVE-2022-26486 s hodnotením CVSSv3.1 8.4 súvisí s chybou platformy WebGPU IPC, kde môže útočník zneužitím dealokovaného miesta v pamäti opustiť sandbox prehliadača, a tak vykonávať škodlivý kód v rámci systému.
Zraniteľné systémy:
- Firefox
- Firefox ESR
- Firefox for Android
- Focus
- Thunderbird
Závažnosť zraniteľnosti: Vysoká
Možné škody:
- Vzdialené vykonávanie kódu
- Sandbox escape
Odporúčania:
Bezodkladná aktualizácia nasledovných softvérov aspoň na tieto verzie:
- Firefox 97.0.2,
- Firefox ESR 91.6.1,
- Firefox for Android 97.3,
- Focus 97.3,
- Thunderbird 91.6.2.
Odkazy:
https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html
https://www.helpnetsecurity.com/2022/03/07/cve-2022-26485-cve-2022-26486/