Firefox 97.0.2 修复两个已遭利用的0day
聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
Mozilla 发布Firefox 97.02、Firefox ESR 91.6.1、Firefox 安卓版本97.3.0以及 Focus 97.3.0版本,修复了两个已遭利用的0day漏洞。
这两个0day漏洞均为“释放后使用”漏洞。当程序尝试使用此前被清空的内存时即可触发。当威胁行动者利用这类漏洞时,可导致程序崩溃,同时允许在无需权限的情况下在设备上执行命令。
这些漏洞之所以是严重级别,是因为可导致远程攻击者执行几乎任意命令,包括下载恶意软件,提供设备的进一步访问权限。
Mozilla 修复的0day 是:
CVE-2022-26485:XSLT参数处理中的释放后使用漏洞:在处理过程中删除 XSLT 参数可导致可利用的释放后使用漏洞。已存在该漏洞遭在野利用的报告。
CVE-2022-26486:WebGPU IPC 框架中的释放后使用漏洞:WebGPU IPC 框架中的异常报文可导致释放后使用漏洞和可利用的沙箱逃逸漏洞。已存在该漏洞遭在野利用的报告。
Mozilla 公司发布安全公告指出,火狐开发人员发现了活跃利用这些漏洞的“在野攻击报告”。
虽然Mozilla 公司并未共享攻击者如何滥用这些0day的详情,但可能是通过将火狐用户重定向至恶意构造的网页而利用。
鉴于这些漏洞的严重性且已遭在野利用,强烈建议所有火狐用户立即更新浏览器。用户也可通过“Firefox 目录>帮助>关于火狐”手动检查更新。火狐将自动检查并更新最新更新,提醒用户重启浏览器。
代码卫士试用地址:https://codesafe.qianxin.com/#/home
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍
谷歌Chrome 紧急修复已遭利用的0day
谷歌:修复0day漏洞的平均耗时比3年前减少28天
苹果发布 iOS 和 macOS 更新,修复已遭利用0day
火狐修复神秘的严重漏洞,同时影响Chrome 浏览器
两年了火狐仍未修复某 0day,不料又一个新0day出现仨月了
Mozilla 加大火狐浏览器漏洞奖励力度
原文链接
https://www.bleepingcomputer.com/news/security/mozilla-firefox-9702-fixes-two-actively-exploited-zero-day-bugs/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
Firefox 97.0.2 修复两个已遭利用的0day相关推荐
- 苹果修复三个已遭利用的 iOS 0day
聚焦源代码安全,网罗国内外最新资讯! 今日,苹果发布安全更新,修复了24个影响 iOS 14.2和 iPadOS 14.2的漏洞,其中包含已修复三个遭在野利用的0day (CVE-2020-2793 ...
- 谷歌修复已遭利用的 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌在Stable 桌面频道发布Chrome 86.0.4240.111,解决了5个漏洞,其中一个是已遭利用的0day. 谷歌 Chr ...
- 微软补丁星期二修复120个漏洞,含2个已遭利用的 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 微软发布2020年8月补丁星期二,共修复了13款不同产品中的120个漏洞.其中,17个漏洞的严重程度为"严重",其 ...
- 尽快更新!Chrome 修复两个已遭在野利用的 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今年9月末,谷歌紧急推出 Chrome 浏览器修复方案,其中包括修复了已遭利用的两个0day,称为该公司在9月修复的第四枚和第五枚0day. 这 ...
- 思科修复运营商级路由器中的两个已遭利用漏洞
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 思科修复了运行在多个运营商级路由器上 IOS XR 软件中的两个漏洞.这两个漏洞已遭利用且均为高危的内存耗尽 DoS 漏洞. 思科 I ...
- 谷歌和 Zyxel 各修复一个已遭利用的 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周一,谷歌发布 Chrome 80 更新版本 Chrome 80.0.3987.122 ,修复了三个高危漏洞,含一个已遭利用的漏洞 C ...
- 谷歌修复4个已遭利用的安卓 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 本周三,谷歌更新2021年五月安卓安全通告称,Arm 和高通在本月早些时候修复的4个漏洞可能已在 0day 漏洞状况下遭利用. 安全通告指 ...
- 苹果紧急修复已遭利用的0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 距离上次为 iOS.iPadOS.macOS 和 watchOS 发布带外补丁仅数周之久,苹果公司再次紧急修复已遭在野利用的 0day ...
- 2020年上半年,谷歌共检测到11个已遭利用的 0day
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌 Project Zero 安全团队表示,在今年上半年共检测到11个在野利用的0day 漏洞. 2019年,谷歌Project Z ...
最新文章
- 何为 Serverless 架构模式?这 5 大场景来告诉你!
- 【微信小程序企业级开发教程】界面刷新获取新更新数据
- qlineedit文本改变时_行文本编辑框QLineEdit及自动补全
- CV之YOLOv3:深度学习之计算机视觉神经网络Yolov3-5clessses训练自己的数据集全程记录(第二次)
- mysql平均值函数保留两位小数点_用sql的avg(score)求完平均值后,保存两位小数的方法(用于查询或视图)...
- Servlet技术简介与编写、编译Servlet程序
- C++_数据类型_算术运算符_取模运算_递增递减运算_赋值运算符_比较运算符---C++语言工作笔记014
- bum报文_Vxlan学习笔记——原理
- Android 整合新浪微博SDK问题
- kafka 的经典教程
- 录视频时帧数越高越好么?
- java调用opencc进行中文简体繁体转换
- 解读华为的流程与 IT 管理部门
- 关于闲鱼测试数据构造,我有几条心得
- ECCV2022论文列表(中英对照)
- javascript学习之路1
- Android调查问卷的创建与提交
- python拼音名_Python汉字转换成拼音
- 2.4GHz WiFi速率测试指导及Omnipeek 空口log分析
- 按照黑马教程学习javaWeb出现Property ‘dataSource‘ is requir报错HTTP Status 500 – Internal Server Error——解决方案
热门文章
- VC/MFC程序开启关闭和打开自己或其他软件,更改窗口类
- _过程_函数_触发器_游标
- NetBios 的结构体详解(网络控制块NCB)
- MIDP应用程序的属性
- 微信小程序之 Classify(商品属性分类)
- ORA-01747: user.table.column, table.column 或列说明无效
- [原创]利用WM_COPYDATA实现进程间通信
- ASP Webshell查***代码的小东东
- 菜鸟的学习之路(8) — 数组(Array)
- 表单元素值获取方式js及java方式