Mozilla telah mendorong pembaruan perangkat lunak out-of-band ke browser web Firefox untuk memuat dua kerentanan keamanan berdampak tinggi, yang keduanya dikatakan sedang dieksploitasi secara aktif di alam liar.
Dilacak sebagai CVE-2022-26485 dan CVE-2022-26486, cacat zero-day telah digambarkan sebagai masalah penggunaan setelah bebas yang berdampak pada pemrosesan parameter Extensible Stylesheet Language Transformations (XSLT) dan komunikasi antar-proses WebGPU (IPC) Kerangka.
XSLT adalah bahasa berbasis XML yang digunakan untuk mengonversi dokumen XML menjadi halaman web atau dokumen PDF, sedangkan WebGPU adalah standar web baru yang disebut sebagai penerus pustaka grafis JavaScript WebGL saat ini.
Deskripsi dari dua kekurangan di bawah ini:
•CVE-2022-26485 – Menghapus parameter XSLT selama pemrosesan dapat menyebabkan penggunaan setelah bebas yang dapat dieksploitasi
•CVE-2022-26486 – Pesan tak terduga dalam kerangka kerja IPC WebGPU dapat menyebabkan pelarian sandbox setelah bebas digunakan dan dapat dieksploitasi
Bug penggunaan setelah bebas - yang dapat dieksploitasi untuk merusak data yang valid dan mengeksekusi kode arbitrer pada sistem yang disusupi - terutama berasal dari "kebingungan tentang bagian mana dari program yang bertanggung jawab untuk membebaskan memori."
Mozilla mengakui bahwa "Kami memiliki laporan serangan di alam liar" yang mempersenjatai dua kerentanan tetapi tidak membagikan spesifikasi teknis apa pun yang terkait dengan intrusi atau identitas aktor jahat yang mengeksploitasinya.
Peneliti keamanan Wang Gang, Liu Jialei, Du Sihang, Huang Yi, dan Yang Kang dari Qihoo 360 ATA telah dipuji karena menemukan dan melaporkan kekurangannya.
Mengingat eksploitasi aktif dari kekurangan, pengguna disarankan untuk mengupgrade sesegera mungkin ke Firefox 97.0.2, Firefox ESR 91.6.1, Firefox untuk Android 97.3.0, Focus 97.3.0, dan Thunderbird 91.6.2.