Mozilla发布更新为修复火狐浏览器2个关键安全漏洞

据报道，Firefox有两个被黑客攻击利用的漏洞，为此Mozilla 发布了 Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0 和 Focus 97.3.0，用来修复CVE-2022-26485和CVE-2022-26485这两个漏洞。

这两个漏洞分别是XSLT 参数处理和 WebGPU IPC 框架中的“Use-after-free”问题。黑客利用这些漏洞，可能会导致程序崩溃或在机器上执行任意命令。

在公告中，Mozilla还提供关于两个缺陷的细节描述：

CVE-2022-26485 (漏洞位于XSLT参数处理中)。
这个缺陷被用于远程代码执行（RCE），这意味着在计算机上没有现有权限或账户的攻击者可能会在受害者的计算机上运行他们选择的恶意软件代码，只需将用户引诱到一个看起来无害但充满恶意软件的网站。

CVE-2022-26486（漏洞位于WebGPU IPC框架中）。这个漏洞是”沙盒逃脱”的一部分，这种安全漏洞既可以单独滥用（攻击者获得对本应禁止的文件的访问权），也可以与RCE漏洞结合使用，使播种的恶意软件从浏览器部署的安全围栏当中逃脱。

安全研究人员建议用户检查并立刻安装更新，这样能够防止黑客利用这些漏洞进行网络攻击。如果需要更新Mozilla Firefox，可以进入应用程序菜单，点击帮助>关于Firefox就可以开始升级啦。