聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

Mozilla 发布Firefox 97.02、Firefox ESR 91.6.1、Firefox 安卓版本97.3.0以及 Focus 97.3.0版本,修复了两个已遭利用的0day漏洞。

这两个0day漏洞均为“释放后使用”漏洞。当程序尝试使用此前被清空的内存时即可触发。当威胁行动者利用这类漏洞时,可导致程序崩溃,同时允许在无需权限的情况下在设备上执行命令。

这些漏洞之所以是严重级别,是因为可导致远程攻击者执行几乎任意命令,包括下载恶意软件,提供设备的进一步访问权限。

Mozilla 修复的0day 是:

  • CVE-2022-26485:XSLT参数处理中的释放后使用漏洞:在处理过程中删除 XSLT 参数可导致可利用的释放后使用漏洞。已存在该漏洞遭在野利用的报告。

  • CVE-2022-26486:WebGPU IPC 框架中的释放后使用漏洞:WebGPU IPC 框架中的异常报文可导致释放后使用漏洞和可利用的沙箱逃逸漏洞。已存在该漏洞遭在野利用的报告。

Mozilla 公司发布安全公告指出,火狐开发人员发现了活跃利用这些漏洞的“在野攻击报告”。

虽然Mozilla 公司并未共享攻击者如何滥用这些0day的详情,但可能是通过将火狐用户重定向至恶意构造的网页而利用。

鉴于这些漏洞的严重性且已遭在野利用,强烈建议所有火狐用户立即更新浏览器。用户也可通过“Firefox 目录>帮助>关于火狐”手动检查更新。火狐将自动检查并更新最新更新,提醒用户重启浏览器。

代码卫士试用地址:https://codesafe.qianxin.com/#/home

开源卫士试用地址:https://oss.qianxin.com

推荐阅读

谷歌宣布 Linux Kernel、Kubernetes 0day 漏洞奖励加倍

谷歌Chrome 紧急修复已遭利用的0day

谷歌:修复0day漏洞的平均耗时比3年前减少28天

苹果发布 iOS 和 macOS 更新,修复已遭利用0day

火狐修复神秘的严重漏洞,同时影响Chrome 浏览器

两年了火狐仍未修复某 0day,不料又一个新0day出现仨月了

Mozilla 加大火狐浏览器漏洞奖励力度

原文链接

https://www.bleepingcomputer.com/news/security/mozilla-firefox-9702-fixes-two-actively-exploited-zero-day-bugs/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错,就点个 “在看” 或 "赞” 吧~

Firefox 97.0.2 修复两个已遭利用的0day相关推荐

  1. 苹果修复三个已遭利用的 iOS 0day

     聚焦源代码安全,网罗国内外最新资讯! 今日,苹果发布安全更新,修复了24个影响 iOS 14.2和 iPadOS 14.2的漏洞,其中包含已修复三个遭在野利用的0day (CVE-2020-2793 ...

  2. 谷歌修复已遭利用的 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌在Stable 桌面频道发布Chrome 86.0.4240.111,解决了5个漏洞,其中一个是已遭利用的0day. 谷歌 Chr ...

  3. 微软补丁星期二修复120个漏洞,含2个已遭利用的 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 微软发布2020年8月补丁星期二,共修复了13款不同产品中的120个漏洞.其中,17个漏洞的严重程度为"严重",其 ...

  4. 尽快更新!Chrome 修复两个已遭在野利用的 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 今年9月末,谷歌紧急推出 Chrome 浏览器修复方案,其中包括修复了已遭利用的两个0day,称为该公司在9月修复的第四枚和第五枚0day. 这 ...

  5. 思科修复运营商级路由器中的两个已遭利用漏洞

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 思科修复了运行在多个运营商级路由器上 IOS XR 软件中的两个漏洞.这两个漏洞已遭利用且均为高危的内存耗尽 DoS 漏洞. 思科 I ...

  6. 谷歌和 Zyxel 各修复一个已遭利用的 0day

    聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 本周一,谷歌发布 Chrome 80 更新版本 Chrome 80.0.3987.122 ,修复了三个高危漏洞,含一个已遭利用的漏洞 C ...

  7. 谷歌修复4个已遭利用的安卓 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士 本周三,谷歌更新2021年五月安卓安全通告称,Arm 和高通在本月早些时候修复的4个漏洞可能已在 0day 漏洞状况下遭利用. 安全通告指 ...

  8. 苹果紧急修复已遭利用的0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 距离上次为 iOS.iPadOS.macOS 和 watchOS 发布带外补丁仅数周之久,苹果公司再次紧急修复已遭在野利用的 0day ...

  9. 2020年上半年,谷歌共检测到11个已遭利用的 0day

     聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 谷歌 Project Zero 安全团队表示,在今年上半年共检测到11个在野利用的0day 漏洞. 2019年,谷歌Project Z ...

最新文章

  1. 何为 Serverless 架构模式?这 5 大场景来告诉你!
  2. 【微信小程序企业级开发教程】界面刷新获取新更新数据
  3. qlineedit文本改变时_行文本编辑框QLineEdit及自动补全
  4. CV之YOLOv3:深度学习之计算机视觉神经网络Yolov3-5clessses训练自己的数据集全程记录(第二次)
  5. mysql平均值函数保留两位小数点_用sql的avg(score)求完平均值后,保存两位小数的方法(用于查询或视图)...
  6. Servlet技术简介与编写、编译Servlet程序
  7. C++_数据类型_算术运算符_取模运算_递增递减运算_赋值运算符_比较运算符---C++语言工作笔记014
  8. bum报文_Vxlan学习笔记——原理
  9. Android 整合新浪微博SDK问题
  10. kafka 的经典教程
  11. 录视频时帧数越高越好么?
  12. java调用opencc进行中文简体繁体转换
  13. 解读华为的流程与 IT 管理部门
  14. 关于闲鱼测试数据构造,我有几条心得
  15. ECCV2022论文列表(中英对照)
  16. javascript学习之路1
  17. Android调查问卷的创建与提交
  18. python拼音名_Python汉字转换成拼音
  19. 2.4GHz WiFi速率测试指导及Omnipeek 空口log分析
  20. 按照黑马教程学习javaWeb出现Property ‘dataSource‘ is requir报错HTTP Status 500 – Internal Server Error——解决方案

热门文章

  1. VC/MFC程序开启关闭和打开自己或其他软件,更改窗口类
  2. _过程_函数_触发器_游标
  3. NetBios 的结构体详解(网络控制块NCB)
  4. MIDP应用程序的属性
  5. 微信小程序之 Classify(商品属性分类)
  6. ORA-01747: user.table.column, table.column 或列说明无效
  7. [原创]利用WM_COPYDATA实现进程间通信
  8. ASP Webshell查***代码的小东东
  9. 菜鸟的学习之路(8) — 数组(Array)
  10. 表单元素值获取方式js及java方式