Mozilla korrigerar två aktivt utnyttjade zero-day sårbarheter i Firefox
Den stora bilden: Mozilla har släppt nya versioner av sin webbläsare Firefox som korrigerar ett par kritiska nolldagssårbarheter. Båda har redan utnyttjats aktivt i naturen, så du vill ta tag i plåstret ASAP för att undvika exponering.
Sårbarheterna, märkta CVE-2022-26485 och CVE-2022-26486, är båda sårbarheter utan användning efter fri (UAF) som rapporterades till Mozilla av det kinesiska internetsäkerhetsföretaget Qihoo 360. Som Kaspersky framhåller hänför sig dessa typer av sårbarheter till felaktig användning av dynamiskt minne under ett programs körning.
Pekare i ett program hänvisar till datamängder i dynamiskt minne. Om en datamängd raderas eller flyttas till ett annat block men pekaren, istället för att nollställas (inställd på noll), fortsätter att referera till det nu frigjorda minnet, blir resultatet en hängande pekare. Om programmet sedan allokerar samma minnesbit till ett annat objekt (till exempel data som matats in av en angripare), kommer den dinglande pekaren nu att referera till denna nya datamängd. Med andra ord tillåter UAF-sårbarheter kodersättning.
CVE-2022-26485 avser ett UAF-fel i XSLT-parameterbearbetning, medan den andra handlar om UAF i WebGPU PIC-ramverket. Mozilla sa i sin säkerhetsrådgivning att de har rapporter om attacker i det vilda som använder båda buggarna.
Du kan hämta den senaste versionen av Mozilla Firefox för din plattform på vår nedladdningssida eller uppdatera manuellt via Firefoxs integrerade hjälpmeny.
Mozillas Firefox har gett upp betydande marknadsandelar under det senaste decenniet eller så. Enligt StatCounter använde ungefär en tredjedel av stationära datorer världen över Firefox i slutet av 2010. Ett år senare sköt Googles Chrome upp i popularitet och passerade Firefox. I mitten av 2012 passerade Chrome Microsofts Internet Explorer och har inte tittat tillbaka.
Från och med förra månaden stod Firefox för bara 9,46 procent av den globala marknaden för datorwebbläsare. Branschledande Chrome användes på 64,91 procent av maskinerna.
Bildkredit Nata Figueiredo