Megjelent a Firefox 97.0.2 és 91.6.1 karbantartási kiadása, amelyek két, kritikusnak minősített sebezhetőséget javítanak ki. A sérülékenységek lehetővé teszik a sandbox elkülönítésének megkerülését, és a kód futtatását böngészőjogokkal, amikor speciálisan tervezett tartalmat dolgoz fel. Azt állítják, hogy mindkét probléma esetében azonosították a működő exploitokat, amelyeket már használnak támadások végrehajtására.
A részleteket még nem hozták nyilvánosságra, csak annyit tudni, hogy az első sérülékenység (CVE-2022-26485) az XSLT-paraméter feldolgozására szolgáló kódban már felszabadult memóriaterülethez (Use-after-free) kapcsolódik, a második pedig (CVE-2022-26486) a WebGPU IPC keretrendszerben már felszabadított memóriához való hozzáféréssel.
A Firefox motoron alapuló böngészők minden felhasználójának ajánlott a frissítések azonnali telepítése. A Firefox 91 ESR ágán alapuló Tor Browser felhasználóinak különösen óvatosnak kell lenniük a frissítések telepítésekor, mivel a sérülékenységek nemcsak a rendszer kompromittálásához, hanem a felhasználó anonimizálásához is vezethetnek. A szóban forgó biztonsági réseket kiküszöbölő frissítés még nem készült a Tor Browserhez.
Forrás: opennet.ru