两个Mozilla Firefox 零日漏洞曝光
Mozilla 在其 Firefox 浏览器中加入了带外数据软件升级,包含了两个高影响力的安全漏洞。 Mozilla 称,这两个漏洞正在被大肆利用。
标记为 cve-2022-26485和 cve-2022-26486的零日漏洞被描述为影响 XSLT 参数处理和 WebGPU 行程间通讯(IPC)框架的use-after-free 漏洞。
XSLT 是一种基于 XML 的语言,用于将 XML 文档转换为网页或 PDF 文档,而 WebGPU 是一种新兴的 web 标准,被宣传为当前 WebGL JavaScript 图形库的继承者。
这两个漏洞的描述如下-
- CVE-2022-26485-在处理过程中删除 XSLT 参数可能导致 use-after-free 漏洞
- CVE-2022-26486-WebGPU IPC 框架中的一条意外消息可能导致use-after-free漏洞和沙箱逃离
Use-after-free 漏洞(可以用来破坏有效数据并在受损系统上执行任意代码)主要源于“程序负责释放内存的部分的混乱”
Mozilla 承认,“我们收到了这两个漏洞成为攻击武器的报告”,但没有透露任何与入侵或利用这些漏洞的恶意黑客的身份有关的技术细节。
考虑到这些漏洞,建议用户尽快升级到 Firefox 97.0.2,Firefox ESR 91.6.1,Firefox for Android 97.3.0,Focus 97.3.0和 Thunderbird 91.6.2。
本文由 HackerNews.cc 翻译整理,封面来源于 *** ;
转载请注明“转自 HackerNews.cc ” 并附上原文
“两个Mozilla Firefox 零日漏洞曝光” 的相关文章
黑客滥用 Mitel 设备将 DDoS 攻击放大40亿倍
Hackernews 编译,转载请注明出处: 研究员发现,黑客滥用高影响反射/放大方法,实施长达14小时的持续分布式拒绝服务攻击,放大率达到了破纪录的4294967296倍。 这种攻击载体被称为 TP240PhoneHome (CVE-2022-26143) ,已经被武器化,可以...
日本电装德国分部大量机密数据被窃取 黑客威胁将公开
丰田汽车旗下零部件制造商日本电装于13日宣布,其德国当地法人受到了网络攻击。该公司确认其网络感染了勒索软件。被认定发动了此次攻击的黑客集团已经发布了勒索声明。公司称虽然目前并没有立刻对公司经营造成影响,但是“关于受害的详细情况正在调查中”。公司已向德国当地政府提交了受害报告。 据信息安全公司三井物...
微软示警 PHaaS 模式:发现为网络犯罪团伙提供的大规模钓鱼服务
在今天发布的安全公告中,微软安全团队发现了一个大规模的活动:利用类似主机的基础设施向网络犯罪团伙提供钓鱼服务。该服务被称为 BulletProofLink、BulletProftLink 或 Anthrax,目前在地下网络犯罪论坛上进行宣传。微软称这项服务为“钓鱼即服务”(Phishing-as-a...
安卓 APT 间谍软件 GnatSpy 分析
一个名为C-23(也被称为 GnatSpy,FrozenCell,或 VAMP)的APT组织在他们的恶意应用程序中加入了新的特性,这些特性使得它们对用户的行为更具适应力,用户可能会试图手动删除它们,安全和网络托管公司可能会试图阻止访问或关闭其C2服务器域名,但这些恶意应用程序也能应对。 这款间谍软件...
FluBot 肆虐 Android 平台:伪装成快递应用窃取用户敏感数据
一个旨在窃取密码、银行资料和其他敏感信息的恶意软件正在 Android 平台上快速传播。这款恶意软件名为 FluBot,通过声称来自某家快递公司的短信进行安装,要求用户点击一个链接来追踪某个包裹。这个钓鱼链接要求用户安装一个应用程序来跟踪假的快递,但实际上会窃取用户的敏感数据。 一旦安装,FluBo...
谷歌游说议员 拟利用 SolarWinds 听证会向微软施压
据报道,谷歌正在游说参议院情报委员会成员,准备利用“SolarWinds黑客攻击听证会”向微软施压,询问其产品是否存在网络安全漏洞,并在此次黑客攻击事件中发挥了作用。去年12月,从事网络安全管理软件制作的SolarWinds公司表示,其安全防护软件遭黑客攻击。黑客还借助这款软件的后门,攻击了大量美国...
评论列表
发表评论
