Está disponible una versión de mantenimiento de Firefox 97.0.2 y 91.6.1, que corrige dos vulnerabilidades que han sido calificadas como problemas críticos. Las vulnerabilidades le permiten evitar el aislamiento de la zona de pruebas y lograr la ejecución de su código con privilegios de navegador al procesar contenido especialmente diseñado. Se afirma que para ambos problemas se ha identificado la presencia de exploits funcionales que ya se están utilizando para realizar ataques.
Los detalles aún no se han revelado, solo se sabe que la primera vulnerabilidad (CVE-2022-26485) está asociada con el acceso a un área de memoria ya liberada (Use-after-free) en el código para procesar el parámetro XSLT, y la segunda (CVE-2022-26486) con acceso a la memoria ya liberada en el marco WebGPU IPC.
Se recomienda a todos los usuarios de navegadores basados en el motor Firefox que instalen las actualizaciones inmediatamente. Los usuarios del navegador Tor basado en la rama ESR de Firefox 91 deben tener especial cuidado al instalar actualizaciones, ya que las vulnerabilidades pueden llevar no sólo a comprometer el sistema, sino también a la anonimización del usuario. Aún no se ha creado una actualización para el navegador Tor que elimine las vulnerabilidades en cuestión.
Fuente: opennet.ru