Vulnerabilitats crítiques 0-day en Firefox (CVE-2022-26485 i CVE-2022-26486)

Introducció

El dia 5 de març Mozilla va publicar noves versions del navegador Firefox per a solucionar un parell de vulnerabilitats crítiques 0-day explotades activament en atacs. [1]

Anàlisi

L’explotació reeixida d’aquestes vulnerabilitats pot causar un tancament inesperat del programa o executar ordres arbitràries en la màquina.

Les vulnerabilitats han sigut classificades com a crítiques i són les següents:

    • CVE-2022-26485: L’eliminació d’un paràmetre XSLT durant el processament podria comportar una explotació de vulnerabilitat “use-after-free”. Hem tingut informes d’atacs en la naturalesa abusant d’aquest defecte.
    • CVE-2022-26486: Un missatge inesperat en el framework de WebGPU IPC podria donar lloc a una explotació de vulnerabilitat “use-after-free” i a una fuita explotable de la sandbox de Firefox.

Mozilla indica que aquestes vulnerabilitats s’estan explotant activament en atacs.

Recomanacions

Es recomana actualitzar a les versions Firefox 97.0.2, Firefox ESR 91.6.1, Firefox per a Android 97.3.0 i Focus 97.3.0 que corregeixen aquestes vulnerabilitats.

Referències
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/#CVE-2022-26485