Mozilla виправляє дві активно експлуатовані уразливості нульового дня у Firefox
Загальна картина: Mozilla випустила нові версії свого браузера Firefox, які виправляють пару критичних уразливостей нульового дня. Обидва вже активно експлуатувалися в дикій природі, тому вам захочеться отримати виправлення якомога швидше, щоб уникнути розкриття.
Уразливості, позначені як CVE-2022-26485 і CVE-2022-26486, є уразливими місцями без використання (UAF), про які повідомила Mozilla китайська компанія Qihoo 360, що займається безпекою в Інтернеті. Як підкреслює Касперський, ці типи вразливостей стосуються неправильне використання динамічної пам'яті під час виконання програми.
Вказівники в програмі відносяться до наборів даних у динамічній пам'яті. Якщо набір даних видалено або переміщено до іншого блоку, але вказівник, замість того, щоб бути очищеним (встановлений на нуль), продовжує посилатися на тепер звільнену пам'ять, результатом буде висить покажчик. Якщо програма потім виділяє цей самий шматок пам’яті іншому об’єкту (наприклад, даним, введеним зловмисником), висить покажчик тепер посилатиметься на цей новий набір даних. Іншими словами, уразливості UAF дозволяють замінити код.
CVE-2022-26485 стосується недоліку UAF в обробці параметрів XSLT, тоді як інший стосується UAF у структурі WebGPU PIC. Mozilla у своїй консультації з безпеки заявила, що у них є повідомлення про атаки в дикій природі, в яких використовуються обидві помилки.
Ви можете отримати останню версію Mozilla Firefox для вибраної платформи на нашій сторінці завантажень або оновити вручну через інтегроване меню довідки Firefox.
За останнє десятиліття Firefox від Mozilla втратив значну частку ринку. За даними StatCounter, наприкінці 2010 року приблизно третина настільних комп’ютерів у всьому світі використовувала Firefox. Рік потому Chrome від Google піднявся за популярністю і обійшов Firefox. До середини 2012 року Chrome обійшов Microsoft Internet Explorer і не озирався назад.
Станом на минулий місяць на долю Firefox припадало лише 9,46% світового ринку настільних браузерів. Лідер у галузі Chrome, тим часом, використовувався на 64,91% машин.
Зображення авторство Ната Фігейредо