Dwie nowe krytyczne luki w Mozilla Firefox wykorzystywane aktywnie przez hackerów

Mozilla wydała 5 Marca nagłe aktualizacje oprogramowania do swojej przeglądarki Firefox. Poprawki łatają dwie luki w zabezpieczeniach o dużym impakcie, które są aktywnie wykorzystywane na wolności przez atakujących.

Podatności śledzone są jako CVE-2022-26485 i CVE-2022-26486. Luki zero-day zostały opisane jako problemy typu use-after-free (UAF). Odnosi się do błędu uszkodzenia pamięci, który występuje, gdy aplikacja próbuje użyć pamięci, która nie jest już do niej przypisana (lub zwolniona). Może to spowodować awarie i nieumyślne nadpisanie danych, a w scenariuszach cyberataków może prowadzić do wykonania dowolnego kodu lub umożliwić atakującemu uzyskanie możliwości RCE. Rodzaje tych podatności są często kojarzone z przeglądarkami internetowymi, takimi jak Google Chrome i Mozilla Firefox, co pozwoliło na wiele udanych ataków na przestrzeni ostatnich lat.

Opisywane dwa błędy w Firefox wpływają na przetwarzanie parametrów Extensible Stylesheet Language Transformations (XSLT) i komunikację między procesami WebGPU (IPC). Struktura XSLT to język oparty na XML, używany do konwersji dokumentów XML na strony internetowe lub dokumenty PDF, podczas gdy WebGPU to nowy standard sieciowy, który został uznany za następcę obecnej biblioteki graficznej WebGL JavaScript.

Poniżej krótki opis obydwu podatności:

CVE-2022-26485 – Usunięcie parametru XSLT podczas przetwarzania danych może prowadzić do wykorzystania use-after-free

CVE-2022-26486 – Nieoczekiwana wiadomość w strukturze WebGPU IPC może doprowadzić do use-after-free i ucieczki dowolnego ładunku z odseparowanej piaskownicy

Mozilla przyznała, że „mieliśmy doniesienia o atakach na wolności” wykorzystujących dwie luki w zabezpieczeniach, ale nie podzieliła się żadnymi szczegółami technicznymi związanymi z włamaniami lub tożsamościami wykorzystujących je cyberprzestępców.

Badaczom bezpieczeństwa: Wang Gang, Liu Jialei, Du Sihang, Huang Yi i Yang Kang z Qihoo 360 ATA przypisuje się odkrycie i zgłoszenie tych błędów.

W związku z aktywnym wykorzystywaniem podatności zaleca się użytkownikom jak najszybszą aktualizację do Firefox 97.0.2, Firefox ESR 91.6.1, Firefox dla Androida 97.3.0, Focus 97.3.0 i Thunderbird 91.6.2.

Popularne

Czym jest Microsoft Entra Backup and Recovery?

Przez długi czas odzyskiwanie zmian w Microsoft Entra opierało się głównie na kilku osobnych mechanizmach: soft-delete dla części obiektów, logach audytowych, eksportach konfiguracji i ręcznym odtwarza...

4 min czytania 28 kwi 2026 08:00

MSBuild w rękach atakujących. Legalne narzędzie, które omija klasyczne detekcje

Coraz więcej ataków nie polega już na dostarczeniu malware w klasycznej formie. Zamiast tego napastnicy wykorzystują narzędzia, które już znajdują się w systemie i są uznawane za w pełni zaufane. Jednym z t...

5 min czytania 29 kwi 2026 08:00

Jeszcze o Mythos!

W bardzo dobrym artykule autorstwa mojego redakcyjnego kolegi możemy znaleźć kompendium wiedzy o Mythos – niedawno ogłoszonym modelu AI od Anthropic. Produkt ten wywołał panikę w branży ze względu na zdolno...

6 min czytania wczoraj

Jak zmienić nieznane/zapomniane hasło Administratora na Windows?

W tym artykule pokażemy, jak możemy zmienić hasło administratora na komputerze posiadając do niego fizyczny dostęp. Artykuł ten można potraktować także jako przestrogę dla firm, które nie zaimplementowały jeszcze odpo...

5 min czytania 5 cze 2019 08:00

Twoja rezerwacja bronią cyberprzestępców – kulisy ataku na Booking.com

Wyobraź sobie, że dostajesz wiadomość od hotelu, w którym masz zarezerwowany pobyt. Wszystko wygląda wiarygodnie: dane się zgadzają, termin pasuje, a treść brzmi jak standardowa prośba o potwierdzenie. Problem w...

3 min czytania 22 kwi 2026 08:00