CVE-2022-26486
Mozilla Firefox
2022-03-07
Mozilla Firefox contains a use-after-free vulnerability in WebGPU IPC Framework which can be exploited to perform arbitrary code execution.
Технический анализ и план устранения
Суть уязвимости
Уязвимость типа "использование после освобождения" (Use-After-Free) в IPC-фреймворке WebGPU браузера Mozilla Firefox. Эксплуатация позволяет удаленному злоумышленнику выполнить произвольный код на компьютере пользователя, например, при посещении специально созданной веб-страницы.
Как исправить
Обновите Mozilla Firefox до версии, в которой уязвимость устранена.
-
Для Linux (Debian/Ubuntu и производные):
bash sudo apt update && sudo apt upgrade firefoxУбедитесь, что установлена версия Firefox 97.0.1 или новее. -
Для Windows: Установите обновление через встроенный механизм браузера (Настройки → Справка → О Firefox) или загрузите установщик с официального сайта. Уязвимость устранена в версии 97.0.1.
-
Для macOS: Обновите приложение через App Store или с официального сайта Mozilla до версии 97.0.1 или новее.
Временное решение
Если немедленное обновление невозможно:
1. Отключите WebGPU. В адресной строке введите about:config, подтвердите риск, найдите параметр dom.webgpu.enabled и установите его значение в false.
2. Используйте браузер в режиме повышенной безопасности. Включите функцию "Повышенная защита от отслеживания" в настройках приватности.
3. Ограничьте доступ. На уровне межсетевого экрана (брандмауэра) или прокси-сервера заблокируйте доступ к известным вредоносным доменам, которые могут использоваться для эксплуатации.