据谋智基金会发布的官方消息,Mozilla Firefox v97.0.2 现已发布且正在通过内置更新程序向所有用户推送。此版本不含任何新功能或变化,只是用来修复火狐浏览器最新被发现的两枚零日漏洞,漏洞危害等级为高危。

值得注意的是根据谋智基金会的说明,这两枚漏洞均已经在野外遭到利用,可借由漏洞远程执行代码并逃逸。因此漏洞危害非常高容易被高技能黑客配合使用造成系统被入侵,建议火狐浏览器用户立即检查安装新版本。

Firefox发布紧急更新修复已被利用的零日漏洞-贾旭博客

CVE-2022-26485:

该漏洞是火狐浏览器XSLT参数处理中的释放后使用 (Use-after-free),此漏洞已在野外被用于远程代码执行。这意味着攻击者只需要诱导用户访问特制页面触发漏洞即可在目标计算机上运行恶意软件且无需其他交互等。这类特制页面还可以利用诸如某些小型广告联盟进行推广触发,从而在用户不知情的情况下造成大范围感染。

CVE-2022-26486:

此漏洞位于Firefox WebGPU IPC 框架也属于释放后使用,该漏洞既可以单独使用也可以配合其他漏洞使用。借助该漏洞攻击者可以访问那些原本被禁止访问的文件,此类漏洞也属于沙盒逃逸的范围可以造成信息泄露。如果配合前面的远程代码执行漏洞,则可以让恶意软件越过浏览器设置的安全边界,造成更多严重的破坏等。

如何修复上述漏洞:

已经安装火狐浏览器的用户可以直接转到关于页面,在该页面火狐浏览器会自动查找可用更新并自动安装等。亦可前往谋智基金会官网下载最新版的在线安装程序或离线安装包进行覆盖安装升级,此步骤稍微会麻烦些。另外此次发布的修复程序还适用于Mozilla Firefox 91.6.1 RSR扩展支持版和Firefox for Android v97.3.0版。使用上述版本的用户也应该及时更新到最新版本,其中安卓版用户请转到应用商店或手动下载安装包来升级。