Ein korrigiertes Update für Firefox 97.0.2 und 91.6.1 ist verfügbar und behebt zwei als kritisch eingestufte Sicherheitsanfälligkeiten. Diese Schwachstellen ermöglichen das Umgehen der Sandbox-Isolation und die Ausführung von benutzerdefiniertem Code mit Browserprivilegien beim Umgang mit speziell gestalteten Inhalten. Es wird berichtet, dass für beide Probleme funktionierende Exploits identifiziert wurden, die bereits für Angriffe verwendet werden.
Details werden derzeit nicht öffentlich gemacht. Es ist jedoch bekannt, dass die erste Schwachstelle (CVE-2022-26485) mit einem Zugriff auf einen bereits freigegebenen Speicherbereich (Use-after-free) im XSLT-Parameterverarbeitungscode verbunden ist, während die zweite (CVE-2022-26486) auf einen Zugriff auf bereits freigegebenen Speicher im IPC-Framework von WebGPU verweist.
Allen Nutzern von Browsern auf Basis von Firefox wird dringend geraten, die Updates sofort zu installieren. Besonders vorsichtig sollten die Nutzer des Tor Browsers sein, der auf dem ESR-Zweig von Firefox 91 basiert, da die Schwachstellen nicht nur zu einer Kompromittierung des Systems führen, sondern auch zu einer De-Anonymisierung des Nutzers. Ein Update zur Behebung der genannten Schwachstellen für den Tor Browser steht derzeit noch nicht zur Verfügung.
Quelle: opennet.ru
