Mozilla为Firefox浏览器提供“计划外更新”修补两个关键安全漏洞
Mozilla今天发布了Firefox 97.0.2。这个"计划外更新"更新并不包含任何功能,但修补了两个被列为"关键"的安全漏洞。用户必须紧急应用该更新,因为Mozilla已经确认这两个安全漏洞正在被积极利用。
Mozilla Firefox 97.0.2更新包含两个零日漏洞的补丁,这些漏洞目前在外部呈现活动状态。在"Mozilla基金会安全咨询2022-09"中官方表示:"我们已经收到了关于在滥用[这些]缺陷的攻击报告。"
安全公告的细节不多,可能是因为Mozilla不希望攻击者获得关于如何利用这些漏洞的技术方面的信息。尽管如此,它提供了关于这两个缺陷的一些细节,这两个缺陷被标记为"关键"。
CVE-2022-26485 (漏洞位于XSLT参数处理中)。这个缺陷被用于远程代码执行(RCE),这意味着在计算机上没有现有权限或账户的攻击者可能会在受害者的计算机上运行他们选择的恶意软件代码,只需将用户引诱到一个看起来无害但充满恶意软件的网站。
CVE-2022-26486(漏洞位于WebGPU IPC框架中)。这个漏洞是"沙盒逃脱"的一部分,这种安全漏洞既可以单独滥用(攻击者获得对本应禁止的文件的访问权),也可以与RCE漏洞结合使用,使播种的恶意软件从浏览器部署的安全围栏当中逃脱。
这两个安全缺陷都被列为"自由使用后"的错误。在编程方面,这指的是一个应用程序表明它打算停止访问系统内存,基本上是"释放"给其他应用程序使用。然而,在某些情况下可能继续使用或占用系统内存,这可能对其他等待访问内存的应用程序产生不利影响。通常情况下,这将导致程序崩溃,但有时,甚至数据也会被破坏。这两种情况都可以被认为是安全问题。攻击者也可以利用这些问题来欺骗程序运行不受信任的代码。
要更新Mozilla Firefox,请前往应用程序菜单,点击帮助>关于Firefox就可以开始升级。除了标准用户的Firefox 97,该更新也适用于Firefox 91.6.1 ESR(扩展支持版本)和Firefox 97.3.0 for Android。
相关文章
- 在 Go 里用 CGO?这 7 个问题你要关注!
- 9款优秀的去中心化通讯软件 Matrix 的客户端
- 求职数据分析,项目经验该怎么写
- 在OKR中,我看到了数据驱动业务的未来
- 火山引擎云原生大数据在金融行业的实践
- OpenHarmony富设备移植指南(二)—从postmarketOS获取移植资源
- 《数据成熟度指数》报告:64%的企业领袖认为大多数员工“不懂数据”
- OpenHarmony 小型系统兼容性测试指南
- 肯睿中国(Cloudera):2023年企业数字战略三大趋势预测
- 适用于 Linux 的十大命令行游戏
- GNOME 截图工具的新旧截图方式
- System76 即将推出的 COSMIC 桌面正在酝酿大变化
- 2GB 内存 8GB 存储即可流畅运行,Windows 11 极致精简版系统 Tiny11 发布
- 迎接 ecode:一个即将推出的具有全新图形用户界面框架的现代、轻量级代码编辑器
- loongarch架构介绍(三)—地址翻译
- Go 语言怎么解决编译器错误“err is shadowed during return”?
- 敏捷:可能被开发人员遗忘的部分
- Denodo预测2023年数据管理和分析的未来
- 利用数据推动可持续发展
- 在 Vue3 中实现 React 原生 Hooks(useState、useEffect),深入理解 React Hooks 的