Даступны які карэктуе выпуск Firefox 97.0.2 і 91.6.1 з ухіленнем двух уразлівасцяў, якім прысвоены статут крытычных праблем. Уразлівасці дазваляюць абыйсці sandbox-ізаляцыю і дамагчыся выкананні свайго кода з прывілеямі браўзэра пры апрацоўцы адмыслова аформленага кантэнту. Сцвярджаецца, што для абедзвюх праблем выяўлена наяўнасць працоўных эксплоітаў, якія ўжо выкарыстоўваюцца для здзяйснення нападаў.
Дэталі пакуль не раскрываюцца, вядома толькі, што першая ўразлівасць (CVE-2022-26485) злучана са зваротам да ўжо вызваленай вобласці памяці (Use-after-free) у кодзе для апрацоўкі параметру XSLT, а другая (CVE-2022-26486) зваротам да ўжо вызваленай памяці ў IPC фрэймворку WebGPU.
Усім карыстачам браўзэраў на рухавічку Firefox рэкамендуецца тэрмінова ўсталяваць абнаўленні. Асабліва ўважлівымі да ўсталёўкі абнаўленняў варта быць карыстача Tor Browser, заснаваным на ESR-галінцы Firefox 91, бо ўразлівасці могуць прывесці не толькі да кампраметацыі сістэмы, але і да дэананімізацыі карыстача. Абнаўленне з ухіленнем разгляданых уразлівасцяў для Tor Browser пакуль не сфарміравана.
Крыніца: opennet.ru