A Mozilla lançou uma atualização de emergência para seu navegador Firefox que tenta resolver pelo menos duas vulnerabilidades críticas de segurança. Assim, os cibercriminosos podiam explorar livremente falhas Zero-Day.
Ambos são bugs use-after-free, que são problemas de corrupção de memória que ocorrem quando um aplicativo continua a tentar usar um pedaço de memória que foi atribuído a ele, depois que esse pedaço foi liberado para uso por um aplicativo diferente. Esse tipo de problema pode levar à execução remota de código (RCE), corrupção de dados e falhas no sistema.
O primeiro bug endereçado pela Mozilla, CVE-2022-26485, é um problema de uso após a liberação no processamento de parâmetros XSLT do navegador. Os parâmetros XSLT são usados para criar folhas de estilo que são usadas para determinar a aparência de um site.
“A remoção de um parâmetro XSLT durante o processamento pode ter levado a um uso pós-livre explorável”, de acordo com o comunicado da Mozilla no fim de semana.
Bugs críticos afetam navegador Firefox
O segundo bug, CVE-2022-26486, é um problema de uso após a liberação no WebGPU IPC Framework. WebGPU é uma API da Web que oferece suporte a multimídia em páginas da Web, empregando a Unidade de Processamento Gráfico (GPU) de uma máquina. É usado para dar suporte a jogos, videoconferência e modelagem 3D, entre outras coisas.
“Uma mensagem inesperada na estrutura WebGPU IPC pode levar a uma fuga de sandbox de uso posterior livre e explorável”, de acordo com a Mozilla.
A empresa não forneceu muitos detalhes técnicos, presumivelmente para tornar a exploração ainda mais difícil para os maus atores. No entanto, Paul Ducklin, tecnólogo sênior da Sophos, fez algumas observações.
O primeiro bug, disse ele, está sendo explorado em estado selvagem para o RCE, “implicando que invasores sem privilégios ou contas existentes em seu computador podem induzi-lo a executar um código de malware de sua escolha simplesmente atraindo você para um inocente, mas bobo. site preso.”
O segundo está sendo usado para escape de sandbox, conforme observado pela Mozilla.
Esse tipo de falha de segurança geralmente pode ser abusada por conta própria (por exemplo, para dar a um invasor acesso a arquivos que deveriam estar fora dos limites) ou em combinação com um bug RCE para permitir que malware implantado escape dos limites de segurança imposta pelo seu navegador, tornando ainda pior uma situação já ruim, observou Ducklin.
Wang Gang, Liu Jialei, Du Sihang, Huang Yi e Yang Kang do 360 ATA relataram os problemas. Ambos os bugs são corrigidos nas seguintes versões e os usuários devem atualizar imediatamente:
- Firefox 97.0.2
- Firefox ESR 91.6.1
- Firefox para Android 97.3
- Focus 97,3
- Thunderbird 91.6.2
Via Threat Post