簡述
Mozilla 近日針對其 Firefox 瀏覽器發佈了緊急更新，以解決已被駭客廣泛利用的兩個重大零時差漏洞。這兩個漏洞都是 Firefox 瀏覽器中的使用釋放後記憶體（Use-After-Free, UFA）問題，是當應用程序嘗試使用分配給它的一塊內存時發生的內存損壞問題，在所述塊被釋放以供不同的應用程序使用之後，可能導致遠程代碼執行 (RCE)、數據損壞和系統崩潰。

 

CVE-2022-26485 及 CVE-2022-26486
CVE-2022-26485 是瀏覽器 XSLT 參數處理中的問題，XSLT 參數是用於創建確定網站外觀的樣式表，在處理過程中刪除 XSLT 參數則可能導致使用釋放後內存的漏洞。

至於 CVE-2022-26486 則是 WebGPU IPC 框架中的漏洞。 WebGPU 是一種 Web API，它通過使用機器的圖形處理單元 (GPU) 來支持網頁上的多媒體，用於支持遊戲、視頻會議和 3D 建模等。而出現在 WebGPU IPC 中的不明消息則可導致使用釋放後內存漏洞及沙箱逃逸，可讓攻擊者訪問受限制文件，或者與 RCE 漏洞結合，允許植入的惡意軟件逃離強加的安全限制，並通過瀏覽器。

 

受影響之瀏覽器版本

• Firefox 97.0.2

• Firefox ESR 91.6.1

• Firefox for Android 97.3

• Focus 97.3

• Thunderbird 91.6.2

 

參考資料：
https://threatpost.com/firefox-zero-day-bugs-rce-sandbox-escape/178779/