2가지 새로운 Mozilla Firefox 제로데이 취약점 주의!

 

 

2 New Mozilla Firefox 0-Day Bugs Under Active Attack — Patch Your Browser ASAP!

Mozilla는 Firefox 브라우저의 대역 외 업데이트를 공개하였습니다. 이번 업데이트에는 현재 적극적으로 악용되고 있는 두 가지 심각한 보안 취약점을 포함하고 있습니다. 

이번에 패치된 두가지 제로데이 취약점은 XSLT(Extensible Stylesheet Language Transformations) 매개변수 처리 및 WebGPU 프로세스 간 통신(IPC)에 영향을 미치는 use-after-free 이슈 입니다. 

XSLT는 XML 문서를 웹 페이지 또는 PDF 문서로 변환하는 데 사용되는 XML 기반 언어인 반면, WebGPU는 현재 WebGL JavaScript 그래픽 라이브러리의 후속 제품으로 청구되는 새로운 웹 표준입니다.

CVE-2022-26485 – 처리 중 XSLT 매개변수를 제거하면 use-after-free취약점이 악용될 수 있습니다.
CVE-2022-26486 – WebGPU IPC 프레임워크의 예기치 않은 메시지로 인해 use-after-free 및 악용 가능한 샌드박스 탈출이 발생할 수 있습니다.

현재 해당 취약점은 공격자들에 의해 악용되고 있으며, 이에 사용자들은 가능한 빨리 Firefox 97.0.2, Firefox ESR 91.6.1, Android용 Firefox 97.3.0, Focus 97.3.0 및 Thunderbird 91.6.2로 업그레이드 할것을 권고 드립니다. 

 

 

 

 

출처 : 
https://thehackernews.com/2022/03/2-new-mozilla-firefox-0-day-bugs-under.html
https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/