Mozilla parandab Firefoxis kaks aktiivselt ära kasutatud nullpäeva turvaauku
Suur pilt: Mozilla on välja andnud oma Firefoxi brauseri uued versioonid, mis parandavad paar kriitilist nullpäeva turvaauku. Mõlemat on looduses juba aktiivselt ära kasutatud, nii et kokkupuute vältimiseks peaksite plaastri kätte haarama võimalikult kiiresti.
CVE-2022-26485 ja CVE-2022-26486 haavatavused on mõlemad kasutusjärgsed (UAF) haavatavused, millest Hiina Interneti-turvafirma Qihoo 360 teatas Mozillale. Nagu Kaspersky rõhutab, on seda tüüpi haavatavused seotud dünaamilise mälu vale kasutamine programmi täitmise ajal.
Programmis olevad osutid viitavad dünaamilises mälus olevatele andmekogumitele. Kui andmekogum kustutatakse või teisaldatakse teise plokki, kuid kursor selle asemel, et kustutada (seatakse nulliks), viitab jätkuvalt nüüd vabastatud mälule, on tulemuseks rippuv osuti. Kui programm eraldab sama mälumahu teisele objektile (näiteks ründaja sisestatud andmetele), viitab rippuv kursor nüüd sellele uuele andmekogumile. Teisisõnu, UAF-i haavatavused võimaldavad koodi asendamist.
CVE-2022-26485 on seotud UAF-i veaga XSLT parameetrite töötlemisel, samas kui teine käsitleb UAF-i WebGPU PIC-raamistikus. Mozilla ütles oma turvaalases nõuandes, et neil on teateid rünnakutest looduses, kasutades mõlemat viga.
Saate hankida Mozilla Firefoxi uusima versiooni oma valitud platvormile meie allalaadimiste lehel või värskendada käsitsi Firefoxi integreeritud abimenüü kaudu.
Mozilla Firefox on viimase kümnendi jooksul loobunud märkimisväärsest turuosast. StatCounteri andmetel kasutas umbes kolmandik lauaarvutitest üle maailma 2010. aasta lõpus Firefoxi. Aasta hiljem tõusis Google'i Chrome populaarsus ja möödus Firefoxist. 2012 aasta keskpaigaks möödus Chrome Microsofti Internet Explorerist ega ole tagasi vaadanud.
Eelmise kuu seisuga moodustas Firefox vaid 9,46 protsenti ülemaailmsest lauaarvuti brauserite turust. Vahepeal kasutati tööstusharu liidrit Chrome'i 64,91 protsendil masinatest.
Pildi krediit Nata Figueiredo