漏洞描述

近日， 监测到 Mozilla 对火狐(Firefox)网络浏览器进行了带外安全更新， 其中包含了两个影响很大的安全漏洞CVE-2022-26485 和 CVE-2022-26486。 攻击者能够利用它们导致程序崩溃， 或在未经许可的情况下在设备上执行命令。建议尽快升级到 Firefox 97.0.2、 Firefox ESR 91.6.1、 Firefox for Android 97.3.0、Firefox Focus 97.3.0 和 Firefox Thunderbird 91.6.2 版本。

漏洞详情

CVE-2022-26485 在处理过程中删除 XSLT 参数可能会导致可利用的 Use-After-Free 漏洞。

CVE-2022-26486 WebGPU IPC 框架中一个意料之外的消息可能会导致 Use-After-Free 漏洞和可利用的 sandbox escape。

漏洞编号

CVE-2022-26485、 CVE-2022-26486

漏洞危害

攻击者能够利用 Use-after-free（释放后使用） 漏洞导致程序崩溃， 或在未经许可的情况下在设备上执行命令。

漏洞等级

高危

受影响版本

Firefox 版本<97.0.2

Firefox ESR 版本<91.6.1

Firefox for Android 版本<97.3

Focus 版本<97.3

Thunderbird 版本<91.6.2

修复方案

鉴于这些漏洞正被积极利用， 建议用户受影响用户及时升级更新到以下版本：

Firefox 97.0.2、 Firefox ESR 91.6.1、 Firefox for Android 97.3.0、 Firefox Focus 97.3.0和 Firefox Thunderbird 91.6.2 版本。