Firefox 97.0.2-ի և 91.6.1-ի տեխնիկական սպասարկման թողարկումը հասանելի է, որը շտկում է երկու խոցելիություն, որոնք գնահատվել են որպես կարևոր խնդիրներ: Խոցելիությունները թույլ են տալիս շրջանցել Sandbox-ի մեկուսացումը և հասնել ձեր կոդի կատարմանը բրաուզերի արտոնություններով՝ հատուկ մշակված բովանդակություն մշակելիս: Նշվում է, որ երկու խնդիրների դեպքում էլ բացահայտվել են աշխատանքային սխեմաների առկայությունը, որոնք արդեն օգտագործվում են հարձակումներ իրականացնելու համար։
Մանրամասները դեռևս չեն բացահայտվել, հայտնի է միայն, որ առաջին խոցելիությունը (CVE-2022-26485) կապված է XSLT պարամետրի մշակման կոդի մեջ արդեն ազատված հիշողության տարածք մուտք գործելու հետ (Use-after-free), իսկ երկրորդը: (CVE-2022-26486) WebGPU IPC շրջանակում արդեն ազատված հիշողության հասանելիությամբ:
Firefox շարժիչի վրա հիմնված բրաուզերների բոլոր օգտվողներին խորհուրդ է տրվում անմիջապես տեղադրել թարմացումները: Firefox 91-ի ESR մասնաճյուղի վրա հիմնված Tor բրաուզերի օգտատերերը պետք է հատկապես զգույշ լինեն թարմացումներ տեղադրելիս, քանի որ խոցելիությունները կարող են հանգեցնել ոչ միայն համակարգի փոխզիջմանը, այլև օգտագործողի անանունացմանը: Թարմացում, որը վերացնում է խնդրո առարկա խոցելիությունը, դեռ չի ստեղծվել Tor Browser-ի համար:
Source: opennet.ru