Mozilla今天發(fā)布了Firefox 97.0.2。這個(gè)"計(jì)劃外更新"更新并不包含任何功能，但修補(bǔ)了兩個(gè)被列為"關(guān)鍵"的安全漏洞。用戶必須緊急應(yīng)用該更新，因?yàn)镸ozilla已經(jīng)確認(rèn)這兩個(gè)安全漏洞正在被積極利用。

Mozilla Firefox 97.0.2更新包含兩個(gè)零日漏洞的補(bǔ)丁，這些漏洞目前在外部呈現(xiàn)活動(dòng)狀態(tài)。在"Mozilla基金會(huì)安全咨詢2022-09"中官方表示："我們已經(jīng)收到了關(guān)于在濫用[這些]缺陷的攻擊報(bào)告。"

安全公告的細(xì)節(jié)不多，可能是因?yàn)镸ozilla不希望攻擊者獲得關(guān)于如何利用這些漏洞的技術(shù)方面的信息。盡管如此，它提供了關(guān)于這兩個(gè)缺陷的一些細(xì)節(jié)，這兩個(gè)缺陷被標(biāo)記為"關(guān)鍵"。

CVE-2022-26485 (漏洞位于XSLT參數(shù)處理中)。這個(gè)缺陷被用于遠(yuǎn)程代碼執(zhí)行(RCE)，這意味著在計(jì)算機(jī)上沒有現(xiàn)有權(quán)限或賬戶的攻擊者可能會(huì)在受害者的計(jì)算機(jī)上運(yùn)行他們選擇的惡意軟件代碼，只需將用戶引誘到一個(gè)看起來無害但充滿惡意軟件的網(wǎng)站。

CVE-2022-26486(漏洞位于WebGPU IPC框架中)。這個(gè)漏洞是"沙盒逃脫"的一部分，這種安全漏洞既可以單獨(dú)濫用(攻擊者獲得對(duì)本應(yīng)禁止的文件的訪問權(quán))，也可以與RCE漏洞結(jié)合使用，使播種的惡意軟件從瀏覽器部署的安全圍欄當(dāng)中逃脫。

這兩個(gè)安全缺陷都被列為"自由使用后"的錯(cuò)誤。在編程方面，這指的是一個(gè)應(yīng)用程序表明它打算停止訪問系統(tǒng)內(nèi)存，基本上是"釋放"給其他應(yīng)用程序使用。然而，在某些情況下可能繼續(xù)使用或占用系統(tǒng)內(nèi)存，這可能對(duì)其他等待訪問內(nèi)存的應(yīng)用程序產(chǎn)生不利影響。通常情況下，這將導(dǎo)致程序崩潰，但有時(shí)，甚至數(shù)據(jù)也會(huì)被破壞。這兩種情況都可以被認(rèn)為是安全問題。攻擊者也可以利用這些問題來欺騙程序運(yùn)行不受信任的代碼。

要更新Mozilla Firefox，請(qǐng)前往應(yīng)用程序菜單，點(diǎn)擊幫助>關(guān)于Firefox就可以開始升級(jí)。除了標(biāo)準(zhǔn)用戶的Firefox 97，該更新也適用于Firefox 91.6.1 ESR(擴(kuò)展支持版本)和Firefox 97.3.0 for Android。