Mozilla于3月5日修补了两个已遭开采的安全漏洞,呼吁用户尽快更新Firefox、Firefox ESR、Firefox for Android、Focus与Thunderbird。
这两个安全漏洞分别为CVE-2022-26485与CVE-2022-26486,都是由中国安全企业奇虎360的沙箱云团队(360 ATA)所提报,前者为XSLT参数程序的释放后使用漏洞,在程序中移除XSLT参数即可开采该漏洞,后者则是WebGPU IPC框架的释放后使用漏洞,可通过特定的消息开采,并形成沙箱逃逸。
这两个漏洞都已遭到黑客滥用,并应用在实际攻击中。
Firefox采用自动更新机制,用户可通过“关于Firefox”检查是否已为最新版本。