Es ist eine Wartungsversion von Firefox 97.0.2 und 91.6.1 verfügbar, die zwei als kritisch eingestufte Schwachstellen behebt. Die Schwachstellen ermöglichen es Ihnen, die Sandbox-Isolation zu umgehen und bei der Verarbeitung speziell entwickelter Inhalte die Ausführung Ihres Codes mit Browserrechten zu erreichen. Es wird angegeben, dass für beide Probleme das Vorhandensein funktionierender Exploits identifiziert wurde, die bereits zur Durchführung von Angriffen genutzt werden.
Details wurden noch nicht bekannt gegeben, bekannt ist lediglich, dass die erste Schwachstelle (CVE-2022-26485) mit dem Zugriff auf einen bereits freigegebenen Speicherbereich (Use-after-free) im Code zur Verarbeitung des XSLT-Parameters zusammenhängt, und die zweite (CVE-2022-26486) mit Zugriff auf bereits freigegebenen Speicher im WebGPU IPC-Framework.
Allen Benutzern von Browsern, die auf der Firefox-Engine basieren, wird empfohlen, Updates sofort zu installieren. Nutzer des Tor-Browsers auf Basis des ESR-Zweigs von Firefox 91 sollten bei der Installation von Updates besonders vorsichtig sein, da Schwachstellen nicht nur zur Kompromittierung des Systems, sondern auch zur De-Anonymisierung des Nutzers führen können. Für den Tor-Browser wurde bisher kein Update erstellt, das die betreffenden Schwachstellen beseitigt.
Source: opennet.ru