Mozilla는 현재 야생에서 악용되고 있는 두 가지 활성 취약점을 수정하기 위해 Firefox를 버전 97.0.2로 업데이트했습니다. Firefox 사용자라면 가능한 한 빨리 업데이트하여 브라우저가 안전한지 확인하고 싶을 것입니다.
익스플로잇은 CVE-2022-26485 및 CVE-2022-26486입니다. Mozilla는 웹사이트에서 익스플로잇을 설명했습니다. “처리 중 XSLT 매개변수를 제거하면 free-after-free를 악용할 수 있습니다. 우리는 이 결함을 악용하는 공격에 대한 보고를 받았습니다.”라고 회사는 CVE-2022-26485를 설명합니다.
CVE-2022-26486에 대해 회사는 “WebGPU IPC 프레임워크에 예기치 않은 메시지가 표시되면 use-after-free 및 악용 가능한 샌드박스 탈출로 이어질 수 있습니다. 우리는 이 결함을 악용하는 공격에 대한 보고를 받았습니다.”
Mozilla는 중국 보안 회사 Qihoo 360 ATA의 연구원, Wang Gang, Liu Jialei, Du Sihang, Huang Yi 및 Yang Kang이 익스플로잇을 발견한 것으로 인정합니다.
Firefox 97.0.2 외에도 Firefox ESR을 91.6.1로, Android용 Firefox를 97.3.0으로, Focus를 97.3.0으로 업데이트했습니다.
Mozilla는 이러한 취약점을 심각한 영향을 미치는 취약점으로 나열하므로 Firefox 업데이트를 기다리고 싶지 않을 것입니다. 심각한 취약점이 악용될 때마다 웹을 탐색하는 동안 자신을 안전하게 보호하기 위해 가능한 한 빨리 수정 프로그램을 받고 싶습니다.
