Introducció
El dia 5 de març Mozilla va publicar noves versions del navegador Firefox per a solucionar un parell de vulnerabilitats crítiques 0-day explotades activament en atacs. [1]
Anàlisi
L’explotació reeixida d’aquestes vulnerabilitats pot causar un tancament inesperat del programa o executar ordres arbitràries en la màquina.
Les vulnerabilitats han sigut classificades com a crítiques i són les següents:
- CVE-2022-26485: L’eliminació d’un paràmetre XSLT durant el processament podria comportar una explotació de vulnerabilitat “use-after-free”. Hem tingut informes d’atacs en la naturalesa abusant d’aquest defecte.
- CVE-2022-26486: Un missatge inesperat en el framework de WebGPU IPC podria donar lloc a una explotació de vulnerabilitat “use-after-free” i a una fuita explotable de la sandbox de Firefox.
Mozilla indica que aquestes vulnerabilitats s’estan explotant activament en atacs.
Recomanacions
Es recomana actualitzar a les versions Firefox 97.0.2, Firefox ESR 91.6.1, Firefox per a Android 97.3.0 i Focus 97.3.0 que corregeixen aquestes vulnerabilitats.
Referències
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/#CVE-2022-26485