Две уязвимости нулевого дня обнаружили в браузере Firefox. Причина возникновения уязвимостей заключается в UAF (использованию после освобождения) — проблемы с повреждением памяти, возникающая, когда приложение продолжает пытаться использовать освобождённый для использования фрагмент памяти. Mozilla была вынуждена выпустить экстренное обновление.
Первая ошибка CVE-2022-26485 — проблема при обработке параметров XSLT (параметры таблиц стилей) в браузере. «Эта ошибка эксплуатируется в реальных условиях для RCE, подразумевая, что пользователь сам запустит вредоносный код» — считает старший технолог Sophos
Вторая ошибка, CVE-2022-26486, заключалась в IPC Framework WebGPU. Это веб-API, который поддерживает мультимедиа на веб-страницах с помощью графического процессора (GPU) компьютера. Ошибка использовалась для выхода из песочницы и дальнейшему взаимодействию с реальной системой.