一、背景介紹
近日,市委網信辦技術支撐單位監測到Mozilla發布了一個緊急漏洞修復公告,修復了Firefox瀏覽器中的兩個漏洞(CVE-2022-26485、CVE-2022-26486)🫃🏿🔈。
1.1 漏洞描述
1💁🏿♀️、CVE-2022-26485是Firefox的Geckot渲染引擎/排版引擎中的一個漏洞。在Firefox渲染頁面期間➗😟,刪除一個XSLT參數可能會造成一個可進行漏洞利用的釋放後重引用漏洞🌜。
2🔀、CVE-2022-26486是Firefox的WebGPU IPC框架中的一個釋放後重引用漏洞。WebGPU IPC框架中的一個特殊的消息可能會造成一個可進行漏洞利用的釋放後重引用漏洞🫳🏽,可用於Firefox沙箱的逃逸。
攻擊者使用這兩個漏洞可以在目標設備上實現遠程任意代碼執行🂠。
1.2 漏洞編號
CVE-2022-26485
CVE-2022-26486
1.3 漏洞等級
高危
二、修復建議
2.1 受影響版本
Firefox 97.0.2
Firefox ESR 91.6.1
Firefox for Android 97.3
Focus 97.3
2.2 修復建議
Mozilla官方已發布補丁🚕⇒,建議使用Firefox瀏覽器的用戶,及時更新至安全版本🍿。
官方公告:
https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/
