一、背景介绍

近日，市委网信办技术支撑单位监测到Mozilla发布了一个紧急漏洞修复公告，修复了Firefox浏览器中的两个漏洞（CVE-2022-26485、CVE-2022-26486）。

1.1 漏洞描述

1、CVE-2022-26485是Firefox的Geckot渲染引擎/排版引擎中的一个漏洞。在Firefox渲染页面期间，删除一个XSLT参数可能会造成一个可进行漏洞利用的释放后重引用漏洞。

2、CVE-2022-26486是Firefox的WebGPU IPC框架中的一个释放后重引用漏洞。WebGPU IPC框架中的一个特殊的消息可能会造成一个可进行漏洞利用的释放后重引用漏洞，可用于Firefox沙箱的逃逸。

攻击者使用这两个漏洞可以在目标设备上实现远程任意代码执行。

1.2 漏洞编号

CVE-2022-26485

CVE-2022-26486

1.3 漏洞等级

高危

二、修复建议

2.1 受影响版本

Firefox 97.0.2

Firefox ESR 91.6.1

Firefox for Android 97.3

Focus 97.3

2.2 修复建议

Mozilla官方已发布补丁，建议使用Firefox浏览器的用户，及时更新至安全版本。

官方公告：

https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/