'n Instandhoudingsvrystelling van Firefox 97.0.2 en 91.6.1 is beskikbaar, wat twee kwesbaarhede regstel wat as kritieke kwessies geklassifiseer is. Die kwesbaarhede laat jou toe om sandbox-isolasie te omseil en die uitvoering van jou kode met blaaierregte te verkry wanneer spesiaal ontwerpte inhoud verwerk word. Daar word gesê dat vir beide probleme die teenwoordigheid van werkende uitbuitings geïdentifiseer is wat reeds gebruik word om aanvalle uit te voer.
Besonderhede is nog nie bekend gemaak nie, dit is slegs bekend dat die eerste kwesbaarheid (CVE-2022-26485) geassosieer word met toegang tot 'n reeds vrygestelde geheue area (Gebruik-na-vry) in die kode vir die verwerking van die XSLT-parameter, en die tweede (CVE-2022-26486) met toegang tot reeds vrygestelde geheue in die WebGPU IPC-raamwerk.
Alle gebruikers van blaaiers gebaseer op die Firefox-enjin word aanbeveel om opdaterings onmiddellik te installeer. Gebruikers van Tor Browser gebaseer op die ESR-tak van Firefox 91 moet veral versigtig wees wanneer hulle opdaterings installeer, aangesien kwesbaarhede nie net tot kompromie van die stelsel kan lei nie, maar ook tot de-anonimisering van die gebruiker. 'n Opdatering wat die betrokke kwesbaarhede uitskakel, is nog nie vir Tor Browser geskep nie.
Bron: opennet.ru