大工网安告[2022]009号

一、情况分析

近日，Mozilla发布了一个紧急漏洞修复公告。修复了Firefox浏览器中的两个漏洞CVE-2022-26485、CVE-2022-26486，有情报显示，已发现针对这两个漏洞的在野利用。由于在网上可以找到这两个漏洞的补丁修复细节，熟悉Firefox漏洞利用的攻击者可以很容易编写出用于攻击的漏洞利用代码，建议使用Firefox浏览 器的用户，及时更新至安全版本。

漏洞描述CVE-2022-26485是Firefox的Geckot渲染引擎/排版引擎中的一个漏洞。在Firefox渲染页面期间，删除一个XSLT参数可能会造成一个可进行漏洞利用的释放后重引用漏洞。CVE-2022-26486是Firefox的WebGPU IPC框架中的一个释放后重引用漏洞。WebGPU IPC框架中的一个特殊的消息可能会造成一个可进行漏洞利用的释放后重引用漏洞，可用于Firefox沙箱的逃逸。攻击者使用这两个漏洞可以在目标设备上实现远程任意代码执行。

二、影响版本

Firefox版本 < 97.0.2

Firefox ESR 版本 < 91.6.1

Firefox for Android 版本 < 97.3

Focus 版本 < 97.3

Thunderbird版本< 91.6.2

三、处置建议

Mozilla官方已发布补丁，建议使用Firefox浏览器的用户，及时更新至安全版本。

官方公告：https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/