按 Enter 到主內容區
:::

TWCERT-電子報

:::

Mozilla Firefox 修復兩個已遭濫用於攻擊的 0-day 漏洞

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2022-03-16
  • 點閱次數:134
Mozilla Firefox 修復兩個已遭濫用於攻擊的 0-day 漏洞 TWCERT/CC

CVE編號

CVE-2022-26485、CVE-2022-26486

內文

用戶眾多的 Mozilla Firefox 瀏覽器,日前推出最新 97.0.2 版本,修復兩個目前確知已遭用於駭侵攻擊的兩個 0-day 漏洞;各用戶應立即更新至最新版本。

這兩個漏洞的 CVE 編號為 CVE-2022-26485 與 CVE-2022-26486,都是屬於「使用已釋放記憶體」的錯誤;駭侵者可利用這兩個錯誤誘發程式崩潰,從而遠端執行任意程式碼,無需取得任何權限。

CVE-2022-26485 存於 XSLT 參數處理過程中,在執行時移除需給定的參數,即可誘發此漏洞;而 CVE-2022-26486 則存於 WebGPU IPC Framework 之中,可由一個預期之外的訊息誘發此錯誤,甚至可在沙盒以外執行程式碼。

這兩個 0-day 漏洞的 CVSS 危險程度評分均為 8.4,危險程度評級為「嚴重」(critical)等級,且根據 Mozilla 發表的資安通報指出,該公司已得知這兩個 0-day 已遭駭侵者大規模濫用於攻擊行動中。

這兩個漏洞是由資安公司奇虎 360 ATA 旗下的資安研究人員發現的,並立即通報 Mozilla 進行漏洞修補。

受此漏洞影響的 Mozilla 產品,包括 Mozilla Firefox、Mozilla Firefox ESR、Mozilla Firefox for Android、Mozilla Focus、Mozilla Thunderbird 等;上述各軟體的最新版本,均已修復這兩個漏洞。

各作業系統版本,包括 Windows、macOS、Linux 的 Mozilla Firefox 暨相關產品用戶,應立即更新至最新版本(97.0.2),以免遭到駭侵者以這兩個 0-day 漏洞發動攻擊,造成損失。

影響產品

Mozilla Firefox、Mozilla Firefox ESR、Mozilla Firefox for Android、Mozilla Focus、Mozilla Thunderbird 各作業系統版本 97.0.2 先前版本。

解決辦法

升級至 Mozilla Firefox 97.0.2 與後續版本。
回頁首