两个新的 Mozilla Firefox 零日漏洞受到广泛攻击

Mozilla 已将安全补丁更新推送到其 Firefox 网络浏览器，其中包含两个影响巨大的安全漏洞，据外媒 Hacker News 称，这两个漏洞都在被广泛利用。

两个零日漏洞分别被跟踪为 CVE-2022-26485 和 CVE-2022-26486 ：

• CVE-2022-26485：在处理过程中删除 XSLT 参数可能导致可利用的 use-after-free Bug。（XSLT 是一种基于 XML 的语言，用于将 XML 文档转换为网页或 PDF 文档）
• CVE-2022-26486：WebGPU IPC 框架中的意外消息可能导致 use-after-free Bug 和可利用的沙箱逃逸。（WebGPU 是一种新兴的 Web 标准，被宣传为当前 WebGL JavaScript 图形库的继承者）

use-after-free Bug 是指内存块被释放后，其对应的指针没有被设置为 NULL，这样导致该指针处于悬空的状态。被释放的内存可能被利用来破坏有效的数据，并在受损的系统上执行任意代码。

目前 Mozilla 已承认“我们已经收到了关于野外攻击的报告”，但没有分享关于入侵时间或恶意攻击者相关的任何技术细节。鉴于漏洞被积极利用，建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Focus 97.3.0、Thunderbird 91.6.2。