請立即更新:Firefox發布緊急更新修復已被利用的零日漏洞
據謀智基金會發布的官方消息,Mozilla Firefox v97.0.2 現已發布且正在通過內置更新程序向所有用戶推送。此版本不含任何新功能或變化,只是用來修復火狐瀏覽器最新被發現的兩枚零日漏洞,漏洞危害等級為高危。
值得注意的是根據謀智基金會的說明,這兩枚漏洞均已經在野外遭到利用,可借由漏洞遠程執行代碼并逃逸。因此漏洞危害非常高容易被高技能黑客配合使用造成系統被入侵,建議火狐瀏覽器用戶立即檢查安裝新版本。
CVE-2022-26485:
該漏洞是火狐瀏覽器XSLT參數處理中的釋放后使用 (Use-after-free),此漏洞已在野外被用于遠程代碼執行。這意味著攻擊者只需要誘導用戶訪問特制頁面觸發漏洞即可在目標計算機上運行惡意軟件且無需其他交互等。這類特制頁面還可以利用諸如某些小型廣告聯盟進行推廣觸發,從而在用戶不知情的情況下造成大范圍感染。
CVE-2022-26486:
此漏洞位于Firefox WebGPU IPC 框架也屬于釋放后使用,該漏洞既可以單獨使用也可以配合其他漏洞使用。借助該漏洞攻擊者可以訪問那些原本被禁止訪問的文件,此類漏洞也屬于沙盒逃逸的范圍可以造成信息泄露。如果配合前面的遠程代碼執行漏洞,則可以讓惡意軟件越過瀏覽器設置的安全邊界,造成更多嚴重的破壞等。
如何修復上述漏洞:
已經安裝火狐瀏覽器的用戶可以直接轉到關于頁面,在該頁面火狐瀏覽器會自動查找可用更新并自動安裝等。亦可前往謀智基金會官網下載最新版的在線安裝程序或離線安裝包進行覆蓋安裝升級,此步驟稍微會麻煩些。另外此次發布的修復程序還適用于Mozilla Firefox 91.6.1 RSR擴展支持版和Firefox for Android v97.3.0版。使用上述版本的用戶也應該及時更新到最新版本,其中安卓版用戶請轉到應用商店或手動下載安裝包來升級。
