发布编号：TACERT-ANA-2022030901035959

发布时间：2022-03-09 13:30:00

事故类型：ANA-漏洞预警

发现时间：2022-03-09 13:13:00

影响等级：中

 

[主旨说明:]

【漏洞预警】Mozilla Firefox、Firefox ESR、Firefox for Android、Focus及Thunderbird等产品存在安全漏洞(CVE-2022-26485与CVE-2022-26486)，允许攻击者远端执行任意程式码，请尽速确认并进行更新

 

[内容说明:]

转发 国家资安资讯分享与分析中心 NISAC-ANA-202203-0389

研究人员发现Mozilla Firefox、Firefox ESR、Firefox for Android、Focus及Thunderbird等产品存在安全漏洞(CVE-2022-26485与CVE-2022-26486)，肇因于参数处理过程中移除XSLT参数，造成使用释放后内存(Use-after-free)漏洞，或因参数检查不足，导致WebGPU IPC框架存在沙箱逃逸(Sandbox escape)漏洞，结合上述两个漏洞，将允许攻击者远端执行任意程式码，且Mozilla表示已发现有攻击程式利用漏洞发动攻击。

情资分享等级: WHITE(情资内容为可公开揭露之资讯)

 

[影响平台:]

● Firefox 97.0.2以前版本

● Firefox ESR 91.6.1以前版本

● Firefox for Android 97.3以前版本

● Firefox Focus 97.3以前版本

● Mozilla Thunderbird 91.6.2以前版本

 

[建议措施:]

Mozilla已修补漏洞并推出新版本，请更新各受影响产品至最新版本，更新方式如下：

1.Firefox与Firefox ESR版本检查与更新方式如下：

    (1)开启浏览器，点击选单按钮，点选「说明」-->「关于Firefox」，可查看当前使用之Firefox浏览器是否为受影响之版本，浏览器将执行版本检查与更新。

    (2)点击「重新启动以更新Firefox」完成更新。

2.Firefox for Android版本检查与更新方式如下：

    (1)开启浏览器，点击选单按钮，点选「设定」-->「关于Firefox」，版本号码将会显示在Firefox Browser文字标志下方。

    (2)可于装置中之Google Play商店检查是否有可用之更新，有可更新之版本时，将显示于可更新列表上，点选「更新」完成更新。

3.Firefox Focus版本检查与更新方式如下：

    (1)开启浏览器，点击选单按钮，点选「选项」-->「Mozilla」-->「关于Firefox Focus」。版本号码将会显示在Firefox Focus文字标志下方。

    (2)可于装置中之Google Play商店检查是否有可用之更新，有可更新之版本时，将显示于可更新列表上，点选「更新」完成更新。

4.Thunderbird版本检查与更新方式如下：

    (1)开启Thunderbird，点选「说明」-->「关于Mozilla Thunderbird」，可查看当前使用之Mozilla Thunderbird是否为受影响之版本，并执行版本检查与更新。

    (2)点击「重新启动以更新Thunderbird」完成更新。

5.保持良好使用习惯，请勿点击来路不明的网址连结。

 

[参考资料:]

1. Mozlilla修补两个已被开采的Firefox漏洞

2. https://www.mozilla.org/en-US/security/advisories/mfsa2022-09

3. 更新至最新版的 Firefox for Android

4. Updating Thunderbird

---

(此通报仅在于告知相关资讯，并非为资安事件)，如果您对此通报的内容有疑问或有关于此事件的建议，欢迎与我们连络。

教育机构资安通报应变小组

网址：https://info.cert.tanet.edu.tw/

专线电话：07-5250211

网络电话：98400000

E-Mail：service@cert.tanet.edu.tw