两个Mozilla Firefox 零日漏洞曝光
Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。
标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。
XSLT 是一种基于 XML 的语言,用于将 XML 文档转换为网页或 PDF 文档,而 WebGPU 是一种新兴的 web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者。
这两个漏洞的描述如下-
- CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞
- CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离
Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱”
Mozilla 承认,“我们收到了这两个漏洞成为攻击武器的报告”,但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。
考虑到这些漏洞,建议用户尽快升级到 Firefox 97.0.2,Firefox ESR 91.6.1,Firefox for Android 97.3.0,Focus 97.3.0和 Thunderbird 91.6.2。
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文
“两个Mozilla Firefox 零日漏洞曝光” 的相关文章
黑客滥用 Mitel 设备将 DDoS 攻击放大40亿倍
Hackernews 编译,转载请注明出处: 研究员发现,黑客滥用高影响反射/放大方法,实施长达14小时的持续分布式拒绝服务攻击,放大率达到了破纪录的4294967296倍。 这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ,已经被武器化,可以...
SentinelLabs:俄罗斯利用 AcidRain 擦除恶意软件攻击了 ViaSat
早些时候,美国卫星通信服务提供商 Viasat 遭受了一轮网络攻击,结果导致中东欧地区的服务出现了中断。而由 SentinelLabs 研究人员 Juan Andres Guerrero-Saade 和 Max van Amerongen 最新发布的安全研究报告可知,这口锅应该扣在一款名为“酸雨”(...
西班牙政府证实首相及防长手机被通过“飞马”间谍软件窃听
法新社消息,西班牙政府2日表示,该国首相桑切斯和国防部长罗伯斯的手机在一次“非法的、外部的 ”干预中被通过“飞马”间谍软件窃听。报道还称,西班牙首相府、议会关系与民主记忆大臣费利克斯·博拉尼奥斯·加西亚也证实说,“这不是推测,是非常严重的事实,希望司法部门进行调查。” 法新社报道截图 去年7月,这...
宜家加拿大分公司通报数据泄露事件 影响约 95000 名客户
当地时间5月6日,宜家(IKEA)加拿大公司表示已经将该公司大约9.5万名客户的个人信息数据泄露事件通报给加拿大的隐私监管机构。宜家(IKEA)加拿大公司在致受影响客户的一封信中表示,可能已被泄露的数据包括客户姓名、电子邮件地址、电话号码和邮政编码。 宜家加拿大公司已通知加拿大隐私专员,因为有95...
法国隐私监管机构向 Clearview AI 下达删除数据的命令
有争议的面部识别公司Clearview AI通过从互联网上搜罗自拍照片,积累了一个约100亿张图片的数据库,以便向执法部门出售身份匹配服务,今天,该公司再次被勒令删除人们的数据。法国的隐私监督机构CNIL今天说,这是因为Clearview违反了欧洲的《通用数据保护条例》(GDPR)。 在一份关于违...
西数:黑客利用远程漏洞抹除 My Book 用户数据 正研究潜在恢复方案
在遭到一系列远程攻击之后,西部数据(WD)敦促 My Book 用户立即断开互联网连接。在 6 月 24 日发布的官方公告中,WD 表示 My Book Live 和 My Book Live Duo 网络附加存储(NAS)设备可能通过出厂重置被远程擦除,使用户面临失去所有存储数据的风险。 在公告...
评论列表
发表评论
