Saadaval on Firefoxi versioonide 97.0.2 ja 91.6.1 hooldusväljalase, mis parandab kaks haavatavust, mis on hinnatud kriitilisteks probleemideks. Haavatavus võimaldab teil liivakasti isolatsioonist mööda minna ja saavutada oma koodi käivitamine brauseri õigustega spetsiaalselt loodud sisu töötlemisel. Väidetakse, et mõlema probleemi puhul on tuvastatud toimivate ärakasutamiste olemasolu, mida juba kasutatakse rünnakute läbiviimiseks.
Üksikasju pole veel avalikustatud, on teada vaid see, et esimene haavatavus (CVE-2022-26485) on seotud XSLT parameetri töötlemise koodis juba vabanenud mälualale (Use-after-free) juurdepääsuga ja teine (CVE-2022-26486) juurdepääsuga juba vabastatud mälule WebGPU IPC raamistikus.
Kõigil Firefoxi mootoril põhinevate brauserite kasutajatel on soovitatav värskendused kohe installida. Firefox 91 ESR-i harul põhineva Tor-brauseri kasutajad peaksid värskenduste installimisel olema eriti ettevaatlikud, kuna haavatavused võivad kaasa tuua mitte ainult süsteemi ohustamise, vaid ka kasutaja anonüümsuse kaotamise. Tor-brauseri jaoks pole veel loodud värskendust, mis kõnealused haavatavused kõrvaldaks.
Allikas: opennet.ru