Firefox 97.0.2 および 91.6.1 のメンテナンス リリースが提供されており、重大な問題と評価されている XNUMX つの脆弱性が修正されています。この脆弱性により、特別に設計されたコンテンツを処理する際に、サンドボックス分離をバイパスし、ブラウザ権限でコードを実行できるようになります。どちらの問題についても、攻撃の実行にすでに使用されている有効なエクスプロイトの存在が確認されていると述べられています。
詳細はまだ明らかにされておらず、最初の脆弱性 (CVE-2022-26485) は XSLT パラメータを処理するコード内の既に解放されたメモリ領域へのアクセス (Use-after-free) に関連していること、そして 2022 番目の脆弱性が関連していることだけがわかっています。 (CVE-26486-XNUMX) WebGPU IPC フレームワークですでに解放されているメモリにアクセスする場合。
Firefox エンジンをベースにしたブラウザを使用しているすべてのユーザーは、直ちにアップデートをインストールすることをお勧めします。 Firefox 91 の ESR ブランチをベースにした Tor ブラウザのユーザーは、アップデートをインストールする際に特に注意する必要があります。脆弱性はシステムの侵害だけでなく、ユーザーの匿名化を引き起こす可能性があるためです。 Tor ブラウザに関しては、問題の脆弱性を解消するアップデートはまだ作成されていません。
出所: オープンネット.ru