Impulsse.la Complete News World
Mozilla ha dejado el grupo actualizaciones de software para que su navegador web Firefox contenga dos vulnerabilidades de alto impacto en la seguridad, las cuales están activas en la naturaleza.
Recuperado como CVE-2022-26485 և CVE-2022-26486, los defectos de día cero se describieron como Problemas gratis después del uso influir en la expansión de las transformaciones del lenguaje de hojas de estilo (XSLT:) desarrollo de parámetros և WebGPU: comunicación entre procesos (CIP:) Marco.
XSLT es un lenguaje basado en XML que se utiliza para convertir documentos XML en páginas web o documentos PDF, mientras que WebGPU es un estándar web emergente que es el sucesor de la biblioteca gráfica JavaScript WebGL actual.
La descripción de los dos defectos se encuentra a continuación.
- CVE-2022-26485: – La eliminación del parámetro XSLT durante el procesamiento puede conducir a la explotación, luego de forma gratuita
- CVE-2022-26486: – La liberación inesperada dentro de WebGPU IPC puede resultar en un escape inesperado de la memoria caché explotada
Los errores de uso gratuito que pueden explotarse para corromper datos válidos y ejecutar código arbitrario en sistemas comprometidos se deben en gran parte a la «confusión sobre qué parte del programa es responsable de liberar memoria».
Mozilla reconoció que «teníamos informes de ataques de vida silvestre» que armaban las dos vulnerabilidades, pero no compartió ningún detalle técnico sobre los intrusos o las identidades de los jugadores maliciosos que los explotaban.
A los investigadores de seguridad de Qihoo 360 ATA Wang Gang, Liu Jialein, Du Sihan, Huang Yin, Yang Kang se les atribuye el informe de la detección de errores.
Teniendo en cuenta el uso activo de errores, se recomienda a los usuarios que actualicen a Firefox 97.0.2, Firefox ESR 91.6.1, Firefox 97.3.0, Focus 97.3.0 և Thunderbird 91.6.2 lo antes posible.
Beer ninja. Internet maven. Music buff. Wannabe web evangelist. Analista. Introvertido
