Durante el fin de semana, Mozilla emitió una actualización de seguridad de emergencia para Firefox para abordar dos vulnerabilidades de día cero que han sido explotadas en ataques.
Seguido como CVE-2022-26485 y CVE-2022-26486 y calificados como de "gravedad crítica", los dos agujeros de seguridad son problemas de uso después de liberación que fueron descubiertos e informados por investigadores de seguridad con Qihoo 360 ATA.
La primera de las vulnerabilidades se puede desencadenar al eliminar un parámetro de Transformaciones de lenguaje de hoja de estilo extensible (XSLT) durante el procesamiento, mientras que el segundo error se desencadena por un mensaje inesperado en el marco de comunicación entre procesos (IPC) de WebGPU.
“Hemos recibido informes de ataques en la naturaleza que abusan de esta falla”, señala Mozilla en su aviso.
Si bien el fabricante del navegador no proporcionó más detalles sobre los intentos de explotación observados, las vulnerabilidades de uso posterior a la liberación generalmente permiten a los atacantes ejecutar código arbitrario en los sistemas de destino.
Ambos problemas se resolvieron con el lanzamiento de Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 y Focus 97.3.0, dice Mozilla.
Los detalles técnicos sobre los dos agujeros de seguridad tampoco se han compartido, pero es probable que se publique más información una vez que la mayoría de los usuarios hayan instalado los parches.
En los últimos dos años, Firefox se ha librado en su mayoría de los ataques de día cero, a pesar de la identificación y el parcheo de decenas de vulnerabilidades graves en el navegador durante este tiempo.
Google Project Zero ha rastreado siete vulnerabilidades de Firefox que han sido explotadas en ataques desde 2014, incluidas dos parcheadas en 2020, tres en 2019, una en 2016 y una en 2015.
Relacionado: Mozilla parchea dos vulnerabilidades de Firefox explotadas en ataques
Relacionado: Mozilla parchea Firefox Zero-Day explotado en ataques dirigidos
Relacionado: Firefox Zero-Day explotado para entregar malware a los intercambios de criptomonedas
Ionut Arghire es corresponsal internacional de SecurityWeek.
Tags:
- Coinsmart. El mejor intercambio de Bitcoin y criptografía de Europa.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. ACCESO LIBRE.
- CriptoHawk. Radar de altcoins. Prueba gratis.
- Fuente: https://www.securityweek.com/emergency-firefox-update-patches-two-actively-exploited-zero-day-vulnerabilities
