• 發布單位:TWCERT/CC
• 更新日期:2022-03-16
• 點閱次數:4504

用戶眾多的 Mozilla Firefox 瀏覽器，日前推出最新 97.0.2 版本，修復兩個目前確知已遭用於駭侵攻擊的兩個 0-day 漏洞；各用戶應立即更新至最新版本。

這兩個漏洞的 CVE 編號為 CVE-2022-26485 與 CVE-2022-26486，都是屬於「使用已釋放記憶體」的錯誤；駭侵者可利用這兩個錯誤誘發程式崩潰，從而遠端執行任意程式碼，無需取得任何權限。

CVE-2022-26485 存於 XSLT 參數處理過程中，在執行時移除需給定的參數，即可誘發此漏洞；而 CVE-2022-26486 則存於 WebGPU IPC Framework 之中，可由一個預期之外的訊息誘發此錯誤，甚至可在沙盒以外執行程式碼。

這兩個 0-day 漏洞的 CVSS 危險程度評分均為 8.4，危險程度評級為「嚴重」(critical）等級，且根據 Mozilla 發表的資安通報指出，該公司已得知這兩個 0-day 已遭駭侵者大規模濫用於攻擊行動中。

這兩個漏洞是由資安公司奇虎 360 ATA 旗下的資安研究人員發現的，並立即通報 Mozilla 進行漏洞修補。

受此漏洞影響的 Mozilla 產品，包括 Mozilla Firefox、Mozilla Firefox ESR、Mozilla Firefox for Android、Mozilla Focus、Mozilla Thunderbird 等；上述各軟體的最新版本，均已修復這兩個漏洞。

各作業系統版本，包括 Windows、macOS、Linux 的 Mozilla Firefox 暨相關產品用戶，應立即更新至最新版本（97.0.2），以免遭到駭侵者以這兩個 0-day 漏洞發動攻擊，造成損失。

• CVE編號：CVE-2022-26485、CVE-2022-26486
• 影響產品(版本)：Mozilla Firefox、Mozilla Firefox ESR、Mozilla Firefox for Android、Mozilla Focus、Mozilla Thunderbird 各作業系統版本 97.0.2 先前版本。
• 解決方案：升級至 Mozilla Firefox 97.0.2 與後續版本。