Mozilla выпустила обновление браузера Firefox, в которых закрывает две критические уязвимости нулевого дня. Эти уязвимости уже нашли применение у хакеров, так что тянуть с обновлением не стоит.

Уязвимости получили обозначения CVE-2022-26485 и CVE-2022-26486. Они относятся к типу use-after-free (UAF). Mozilla узнала о них от китайской компании Qihoo 360, пишет Techspot. Лаборатория Касперского сообщает, что эти типы уязвимостей делают возможным неправильное использование динамической памяти при выполнении программ.

Указатели в программе ссылаются на наборы данных в динамической памяти. Если набор данных удаляется или перемещается в другой блок, но указатель не меняет ссылку, он может начать указывать на другой набор данных. Это делает возможной подмену кода.

CVE-2022-26485 описывает уязвимость UAF в обработке параметров XSLT, а CVE-2022-26486 относится к UAF в среде WebGPU PIC. Mozilla пишет о применении этих уязвимостей на практике.

По состоянию на февраль на долю Firefox пришлось 9,46% от всех браузеров на ПК. Chrome установлен на 64,91% компьютеров.