Mozilla ha empujado fuera de banda actualizaciones de software a su navegador web Firefox para contener dos vulnerabilidades de seguridad de alto impacto, las cuales dice que están siendo explotadas activamente en la naturaleza.
Rastreadas como CVE-2022-26485 y CVE-2022-26486, las fallas de día cero se han descrito como problemas de uso después de la liberación impactando las transformaciones del lenguaje de hoja de estilo extensible (XSLT) procesamiento de parámetros y el WebGPU comunicación entre procesos (IPC) Estructura.
XSLT es un lenguaje basado en XML que se utiliza para la conversión de documentos XML en páginas web o documentos PDF, mientras que WebGPU es un estándar web emergente que se anuncia como el sucesor de la biblioteca de gráficos WebGL JavaScript actual.
La descripción de los dos defectos se encuentra a continuación:
- CVE-2022-26485 – La eliminación de un parámetro XSLT durante el procesamiento podría dar lugar a un uso explotable después de la liberación
- CVE-2022-26486 – Un mensaje inesperado en el marco WebGPU IPC podría conducir a un escape de sandbox explotable y use-after-free
Los errores de uso después de liberar, que podrían explotarse para corromper datos válidos y ejecutar código arbitrario en sistemas comprometidos, se derivan principalmente de una "confusión sobre qué parte del programa es responsable de liberar la memoria".
Mozilla reconoció que "hemos recibido informes de ataques en la naturaleza" que utilizan las dos vulnerabilidades como armas, pero no compartió ningún detalle técnico relacionado con las intrusiones o las identidades de los actores maliciosos que las explotan.
A los investigadores de seguridad Wang Gang, Liu Jialei, Du Sihang, Huang Yi y Yang Kang de Qihoo 360 ATA se les atribuye el descubrimiento y el informe de las deficiencias.
A la luz de la explotación activa de las fallas, se recomienda a los usuarios actualizar lo antes posible a Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0, Focus 97.3.0 y Thunderbird 91.6.2.
