Mozilla retter to kritiske Firefox-fejl, som bliver aktivt udnyttet

0
165

Liam Tung Skrevet af Liam Tung, bidragyder Liam TungLiam Tung Bidragyder

Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.

Fuld bio den 7. marts 2022 | Emne: Sikkerhed Truslen fra hackere bliver værre – og uvidenhed er ikke en undskyldning for bestyrelseslokaler mere. Se nu

Folk, der bruger Firefox som en af ​​deres browsere, bør opdatere den, nu hvor den har fået patches for to kritiske fejl der bliver udnyttet i naturen.

Mozilla har netop udgivet Firefox 97.0.2, Firefox ESR 91.6.1, Firefox til Android 97.3.0 og Focus 97.3.0 med sikkerhedsrettelserne. Fejlene er også rettet i Thunderbird 91.6.2.

Både CVE-2022-26485 og CVE-2022-26486 er kritiske hukommelsesrelaterede fejl efter brug efter fri. CVE-2022-26486 kan ifølge Mozilla også føre til en sandkasseudslip, der kan udnyttes.

SE: Cybersikkerhed: Lad os blive taktiske (ZDNet-særrapport)

“Fjernelse af en XSLT-parameter under behandling kunne have ført til en udnyttelig use-after-free. Vi har haft rapporter om angreb i naturen, der misbruger denne fejl,” forklarer Mozilla.

“En uventet besked i WebGPU IPC-rammeværket kan føre til en brug-efter-fri og udnyttelig sandkasse-escape. Vi har haft rapporter om angreb i naturen, der misbruger denne fejl.”

WebGPU er en browserspecifikation for forskellige grænseflader, der tillader en webside at bruge et systems GPU til forbedret grafik.

Mozilla har ikke frigivet yderligere detaljer, men krediterer fejlrapporterne til forskere hos det kinesiske sikkerhedsfirma Qihoo 360 ATA, Wang Gang, Liu Jialei, Du Sihang, Huang Yi og Yang Kang.

Mens Firefox-brugertal er faldende, klarede Mozilla sig ret godt i Google Project Zeros analyse af, hvor hurtigt softwareleverandører fiksede fejl. Mozilla fiksede ni af de 10 fejl, der påvirker dets software inden for 90 dage efter den første rapport. Det tog også i gennemsnit 46 dage at rette fejl sammenlignet med 44 dage for Google, 69 dage for Apple og 83 dage for Microsoft.

Når vi ser på browsere, var Chrome den hurtigste, og med 40 rettede fejl havde den en gennemsnitlig tid på 5,3 dage til at lappe. WebKit havde 27 fejl og en gennemsnitlig tid på 11,6 dage til at reparere, mens Firefox havde otte fejl og en gennemsnitlig tid på 16,6 dage at rette.

Sikkerhed

CISA, FBI advarer USA om WhisperGate og HermeticWiper malware. Nogle filer bliver muligvis ikke slettet, når du nulstiller en Windows-pc Ukraine eller Rusland? Anonyme hacktivister, ransomware-grupper tager parti Cybersikkerhedsudbrændthed er reel. Og det er et problem for os alle. Sådan sikrer du dit hjemme-/kontornetværk: De bedste DNS-blokkere og firewalls Sikkerheds-tv | Datastyring | CXO | Datacentre