Phiên bản Firefox 97.0.2 được phát hành để vá hai lỗ hổng 0-day

[DDos]

Mozilla đã phát hành Firefox 97.0.2, Firefox ESR 91.6.1, Firefox cho Android 97.3.0 và Focus 97.3.0 để sửa hai lỗ hổng zero-day nghiêm trọng bị tin tặc khai thác trong thực tế.

Cả hai lỗ hổng 0-day đều là lỗi "use-after-free". Lỗi xảy ra khi một chương trình cố gắng sử dụng bộ nhớ đã được xóa trước đó. Khi hacker khai thác loại lỗi này, nó có thể khiến chương trình bị hỏng (crash) đồng thời cho phép thực hiện các lệnh trên thiết bị không được phép.

Những lỗ hổng này rất nghiêm trọng vì chúng có thể cho phép hacker thực hiện hầu hết mọi lệnh, bao gồm cả việc tải xuống phần mềm độc hại để thực hiện các cuộc tấn công nguy hại hơn. Hiện tại, chi tiết về hai lỗ hổng an ninh chưa được Mozilla tiết lộ.

Hai lỗi được vá trong phiên bản Firefox 97.0.2 bao gồm:

• CVE-2022-26485: Use-after-free trong quá trình xử lý thông số XSLT - Việc xóa thông số XSLT trong quá trình xử lý có thể dẫn đến lỗi use-after-free. Mozilla đã nhận được các báo cáo về các cuộc tấn công trong thực tế lợi dụng lỗ hổng này.
• CVE-2022-26486: Use-after-free trong WebGPU IPC Framework - Một thông báo không mong muốn trong khung WebGPU IPC có thể dẫn đến lỗi use-after-free và qua mặt hộp cát. Lỗ hổng này cũng đã được báo cáo rằng đang bị khai thác trong thực tế.

Các lỗ hổng này đã được phát hiện và tiết lộ cho Mozilla bởi công ty an ninh mạng Qihoo 360 ATA của Trung Quốc.

Do tính chất nghiêm trọng và việc những lỗi này đang bị khai thác tích cực, người dùng nên cập nhật trình duyệt Firefox lên phiên bản mới nhất ngay lập tức thông qua tùy chọn About Firefox.

Theo: bleepingcomputer​