Mozilla a poussé hors bande mises à jour de logiciel à son navigateur Web Firefox pour contenir deux vulnérabilités de sécurité à fort impact, qui, selon lui, sont activement exploitées dans la nature.
Suivis comme CVE-2022-26485 et CVE-2022-26486, les failles zero-day ont été décrites comme problèmes d’utilisation après libération ayant un impact sur les transformations du langage de feuille de style extensible (XSLT) le traitement des paramètres et la communication inter-processus WebGPU (CIB) Cadre.
XSLT est un langage basé sur XML utilisé pour la conversion de documents XML en pages Web ou en documents PDF, tandis que WebGPU est une norme Web émergente qui a été présentée comme le successeur de la bibliothèque graphique JavaScript WebGL actuelle.
La description des deux défauts est ci-dessous –
- CVE-2022-26485 – La suppression d’un paramètre XSLT pendant le traitement pourrait conduire à une utilisation après libération exploitable
- CVE-2022-26486 – Un message inattendu dans le framework WebGPU IPC pourrait conduire à un échappement sandbox use-after-free et exploitable
Les bogues d’utilisation après libération – qui pourraient être exploités pour corrompre des données valides et exécuter du code arbitraire sur des systèmes compromis – proviennent principalement d’une « confusion sur la partie du programme responsable de la libération de la mémoire ».
Mozilla a reconnu que « nous avons eu des rapports d’attaques dans la nature » militarisant les deux vulnérabilités mais n’a partagé aucune spécificité technique liée aux intrusions ou à l’identité des acteurs malveillants les exploitant.
Les chercheurs en sécurité Wang Gang, Liu Jialei, Du Sihang, Huang Yi et Yang Kang de Qihoo 360 ATA ont été crédités d’avoir découvert et signalé les lacunes.
À la lumière de l’exploitation active des failles, il est recommandé aux utilisateurs de mettre à niveau dès que possible vers Firefox 97.0.2, Firefox ESR 91.6.1, Firefox pour Android 97.3.0, Focus 97.3.0 et Thunderbird 91.6.2.