Mozilla исправила две активно эксплуатируемые уязвимости нулевого дня в Firefox
Общая картина: Mozilla выпустила новые версии своего браузера Firefox, в которых исправлены две критические уязвимости нулевого дня. Оба уже активно использовались в дикой природе, поэтому вам нужно как можно скорее получить патч, чтобы избежать разоблачения.
Обе уязвимости, обозначенные как CVE-2022-26485 и CVE-2022-26486, являются уязвимостями использования после освобождения (UAF), о которых сообщила Mozilla китайская интернет-компания Qihoo 360. Как подчеркивает Касперский, эти типы уязвимостей относятся к неправильное использование динамической памяти во время выполнения программы.
Указатели в программе ссылаются на наборы данных в динамической памяти. Если набор данных удаляется или перемещается в другой блок, но указатель вместо того, чтобы быть очищенным (установленным в нуль), продолжает ссылаться на уже освобожденную память, результатом будет висячий указатель. Если затем программа выделит этот же кусок памяти другому объекту (например, данным, введенным злоумышленником), висячий указатель теперь будет ссылаться на этот новый набор данных. Другими словами, уязвимости UAF допускают подмену кода.
CVE-2022-26485 относится к уязвимости UAF в обработке параметров XSLT, а другая относится к UAF в среде WebGPU PIC. Mozilla в своем бюллетене по безопасности сообщила, что у них есть сообщения о реальных атаках с использованием обеих ошибок.
Вы можете получить последнюю версию Mozilla Firefox для выбранной вами платформы на нашей странице загрузок или обновить вручную через интегрированное меню справки Firefox.
Firefox от Mozilla потерял значительную долю рынка за последнее десятилетие или около того. По данным StatCounter, в конце 2010 года примерно треть настольных компьютеров во всем мире использовали Firefox. Год спустя популярность Chrome от Google резко возросла, опередив Firefox. К середине 2012 года Chrome обогнал Microsoft Internet Explorer и не оглядывался назад.
По состоянию на прошлый месяц на долю Firefox приходилось всего 9,46% мирового рынка настольных браузеров. Тем временем лидер отрасли Chrome использовался на 64,91% компьютеров.
Изображение предоставлено Натой Фигейредо