2个新的Mozilla Firefox 0天漏洞受到主动攻击；尽快修复你的浏览器！

Mozilla推出了Firefox web浏览器的带外软件更新，以包含两个高影响的安全漏洞，并称这两个漏洞都在被广泛利用。

零日缺陷被称为CVE-2022-26485和CVE-2022-26486，是影响可扩展样式表语言转换（XSLT）参数处理和WebGPU进程间通信（IPC）框架的免费使用问题。

XSLT是一种基于XML的语言，用于将XML文档转换为网页或PDF文档，而WebGPU是一种新兴的web标准，被称为当前WebGL JavaScript图形库的继承者。

• CVE-2022-26485– 在处理过程中删除XSLT参数可能会导致在释放后被利用
• CVE-2022-26486– WebGPU IPC框架中的意外消息可能会导致在免费且可利用的沙箱转义后使用

释放bug后使用–；可以利用该漏洞破坏有效数据并在受损系统上执行任意代码–；主要源于“对程序的哪个部分负责释放内存的困惑”

Mozilla承认，“我们收到了关于将这两个漏洞武器化的“野生攻击”报告，但没有分享与入侵或利用它们的恶意行为者的身份有关的任何技术细节。

安全研究人员发现并报告了这些缺陷。

鉴于存在漏洞，建议用户尽快升级到Firefox 97.0.2、Firefox ESR 91.6.1、Firefox for Android 97.3.0、Focus 97.3.0和Thunderbird 91.6.2。