Cybernews

Cyberekspert

Kampanie

Sklep

Menu dostępności

Dwie nowe krytyczne luki w Mozilla Firefox wykorzystywane aktywnie przez hackerów

Kapitan Hack / Cybernews / Dwie nowe krytyczne luki w Mozilla Firefox wykorzystywane aktywnie przez hackerów

Mozilla wydała 5 Marca nagłe aktualizacje oprogramowania do swojej przeglądarki Firefox. Poprawki łatają dwie luki w zabezpieczeniach o dużym impakcie, które są aktywnie wykorzystywane na wolności przez atakujących.

Podatności śledzone są jako CVE-2022-26485 i CVE-2022-26486. Luki zero-day zostały opisane jako problemy typu use-after-free (UAF). Odnosi się do błędu uszkodzenia pamięci, który występuje, gdy aplikacja próbuje użyć pamięci, która nie jest już do niej przypisana (lub zwolniona). Może to spowodować awarie i nieumyślne nadpisanie danych, a w scenariuszach cyberataków może prowadzić do wykonania dowolnego kodu lub umożliwić atakującemu uzyskanie możliwości RCE. Rodzaje tych podatności są często kojarzone z przeglądarkami internetowymi, takimi jak Google Chrome i Mozilla Firefox, co pozwoliło na wiele udanych ataków na przestrzeni ostatnich lat.

Opisywane dwa błędy w Firefox wpływają na przetwarzanie parametrów Extensible Stylesheet Language Transformations (XSLT) i komunikację między procesami WebGPU (IPC). Struktura XSLT to język oparty na XML, używany do konwersji dokumentów XML na strony internetowe lub dokumenty PDF, podczas gdy WebGPU to nowy standard sieciowy, który został uznany za następcę obecnej biblioteki graficznej WebGL JavaScript.

Poniżej krótki opis obydwu podatności:

CVE-2022-26485 – Usunięcie parametru XSLT podczas przetwarzania danych może prowadzić do wykorzystania use-after-free

CVE-2022-26486 – Nieoczekiwana wiadomość w strukturze WebGPU IPC może doprowadzić do use-after-free i ucieczki dowolnego ładunku z odseparowanej piaskownicy

Mozilla przyznała, że „mieliśmy doniesienia o atakach na wolności” wykorzystujących dwie luki w zabezpieczeniach, ale nie podzieliła się żadnymi szczegółami technicznymi związanymi z włamaniami lub tożsamościami wykorzystujących je cyberprzestępców.

Badaczom bezpieczeństwa: Wang Gang, Liu Jialei, Du Sihang, Huang Yi i Yang Kang z Qihoo 360 ATA przypisuje się odkrycie i zgłoszenie tych błędów.

W związku z aktywnym wykorzystywaniem podatności zaleca się użytkownikom jak najszybszą aktualizację do Firefox 97.0.2, Firefox ESR 91.6.1, Firefox dla Androida 97.3.0, Focus 97.3.0 i Thunderbird 91.6.2.

Autor: 2 min czytania

Popularne

Luka w zabezpieczeniach F5 BIG-IP może prowadzić do DoS!

Luka w zabezpieczeniach F5 BIG-IP może prowadzić do DoS!

F5 ostrzega przed luką w zabezpieczeniach łańcucha znaków o wysokim poziomie ważności w BIG-IP, mogącą umożliwić uwierzytelnionemu atakującemu wywołanie stanu odmowy usługi (DoS) i – potencjalnie – wykonanie do...
3 min czytania 7 lut 2023 08:00
Azure wprowadza obowiązkowe MFA – Phase 2 rusza od października 2025

Azure wprowadza obowiązkowe MFA – Phase 2 rusza od października 2025

Microsoft ogłosił kolejny krok swojej strategii podnoszenia poziomu bezpieczeństwa w chmurze – od 1 października 2025 roku rusza faza 2 obowiązkowego uwierzytelniania wieloskładnikowego (MFA) w warst...
4 min czytania 11 wrz 2025 08:00
Czy rzeczywiście jest już prawie 30 ofiar ataku na Oracle EBS? Dalej nie znamy wektora…

Czy rzeczywiście jest już prawie 30 ofiar ataku na Oracle EBS? Dalej nie znamy wektora…

Cyberprzestępcy ujawnili 29 organizacji, które rzekomo ucierpiały w wyniku niedawnych działań wymierzonych w klientów rozwiązań do planowania zasobów przedsiębiorstwa Oracle E-Business Suite (EBS). O...
4 min czytania 17 lis 2025 08:00
Wykorzystanie Microsoft Teams oraz AnyDesk do dystrybucji złośliwego oprogramowania DarkGate. Najpopularniejsze rodzaje ataków w Internecie

Wykorzystanie Microsoft Teams oraz AnyDesk do dystrybucji złośliwego oprogramowania DarkGate. Najpopularniejsze rodzaje ataków w Internecie

Nowa kampania inżynierii społecznej wykorzystuje Microsoft Teams jako narzędzie ułatwiające wdrożenie znanego złośliwego oprogramowania o nazwie DarkGate. Atakujący posługują się zaawansowanymi technikami...
7 min czytania 20 gru 2024 08:00
Microsoft zapowiedział wycofanie VBScript na Windows

Microsoft zapowiedział wycofanie VBScript na Windows

W środę Microsoft przedstawił swoje plany wycofania skryptów VBS (Visual Basic Script) w drugiej połowie 2024 r. na rzecz bardziej zaawansowanych rozwiązań, takich jak JavaScript i PowerShell. „Technologia rozwija...
5 min czytania 28 maj 2024 08:00
Popularne
Luka w zabezpieczeniach F5 BIG-IP może prowadzić do DoS!
Azure wprowadza obowiązkowe MFA – Phase 2 rusza od października 2025
Czy rzeczywiście jest już prawie 30 ofiar ataku na Oracle EBS? Dalej nie znamy wektora…
Wykorzystanie Microsoft Teams oraz AnyDesk do dystrybucji złośliwego oprogramowania DarkGate. Najpopularniejsze rodzaje ataków w Internecie
Microsoft zapowiedział wycofanie VBScript na Windows
Appeal

Ta strona korzysta z ciasteczek aby świadczyć usługi na najwyższym poziomie. Dalsze korzystanie ze strony oznacza, że zgadzasz się na ich użycie.