Dwie nowe krytyczne luki w Mozilla Firefox wykorzystywane aktywnie przez hackerów

Mozilla wydała 5 Marca nagłe aktualizacje oprogramowania do swojej przeglądarki Firefox. Poprawki łatają dwie luki w zabezpieczeniach o dużym impakcie, które są aktywnie wykorzystywane na wolności przez atakujących.

Podatności śledzone są jako CVE-2022-26485 i CVE-2022-26486. Luki zero-day zostały opisane jako problemy typu use-after-free (UAF). Odnosi się do błędu uszkodzenia pamięci, który występuje, gdy aplikacja próbuje użyć pamięci, która nie jest już do niej przypisana (lub zwolniona). Może to spowodować awarie i nieumyślne nadpisanie danych, a w scenariuszach cyberataków może prowadzić do wykonania dowolnego kodu lub umożliwić atakującemu uzyskanie możliwości RCE. Rodzaje tych podatności są często kojarzone z przeglądarkami internetowymi, takimi jak Google Chrome i Mozilla Firefox, co pozwoliło na wiele udanych ataków na przestrzeni ostatnich lat.

Opisywane dwa błędy w Firefox wpływają na przetwarzanie parametrów Extensible Stylesheet Language Transformations (XSLT) i komunikację między procesami WebGPU (IPC). Struktura XSLT to język oparty na XML, używany do konwersji dokumentów XML na strony internetowe lub dokumenty PDF, podczas gdy WebGPU to nowy standard sieciowy, który został uznany za następcę obecnej biblioteki graficznej WebGL JavaScript.

Poniżej krótki opis obydwu podatności:

CVE-2022-26485 – Usunięcie parametru XSLT podczas przetwarzania danych może prowadzić do wykorzystania use-after-free

CVE-2022-26486 – Nieoczekiwana wiadomość w strukturze WebGPU IPC może doprowadzić do use-after-free i ucieczki dowolnego ładunku z odseparowanej piaskownicy

Mozilla przyznała, że „mieliśmy doniesienia o atakach na wolności” wykorzystujących dwie luki w zabezpieczeniach, ale nie podzieliła się żadnymi szczegółami technicznymi związanymi z włamaniami lub tożsamościami wykorzystujących je cyberprzestępców.

Badaczom bezpieczeństwa: Wang Gang, Liu Jialei, Du Sihang, Huang Yi i Yang Kang z Qihoo 360 ATA przypisuje się odkrycie i zgłoszenie tych błędów.

W związku z aktywnym wykorzystywaniem podatności zaleca się użytkownikom jak najszybszą aktualizację do Firefox 97.0.2, Firefox ESR 91.6.1, Firefox dla Androida 97.3.0, Focus 97.3.0 i Thunderbird 91.6.2.

Popularne

Zero-day w pakiecie Office wykorzystywany w atakach

Microsoft wydał poprawki dla luki CVE-2026-21509. Jest to niedawno ujawniona podatność typu zero-day w pakiecie Office, która może zostać wykorzystana do obejścia funkcji zabezpieczeń. W komunikacie giganta...

3 min czytania 2 lut 2026 08:00

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...

5 min czytania 5 cze 2019 08:00

Microsoft wyłączy NTLM!?

Kończy się czas protokołu uwierzytelniania New Technology LAN Manager (NTLM) – w kolejnej wersji systemu Windows Server nie będzie on już obsługiwany. O tym podatnym protokole pisaliśmy wielokrotnie, między i...

4 min czytania 4 lut 2026 09:43

Nowy poziom bezpieczeństwa. Android 16 wzmacnia ochronę przed kradzieżą – co to oznacza dla Twojego smartfona?

W erze, gdy smartfony zawierają całą naszą cyfrową tożsamość - od zdjęć i danych osobowych po dostęp do bankowości - kradzież telefonu to już nie tylko strata sprzętu, ale potencjalna furtka do finansowej...

5 min czytania 30 sty 2026 06:46

Łatajcie Cisco i F5! Wysoki stopień zagrożenia

Cisco i F5 opublikowały w tym tygodniu poprawki dla wielu luk w zabezpieczeniach swoich produktów, w tym dla poważnych podatności, które mogą prowadzić do odmowy usługi (DoS), wykonywania poleceń i eskala...

3 min czytania 9 lut 2026 08:00