Dostępna jest wersja konserwacyjna przeglądarki Firefox 97.0.2 i 91.6.1, która naprawia dwie luki w zabezpieczeniach uznane za krytyczne. Luki umożliwiają ominięcie izolacji piaskownicy i wykonanie kodu z uprawnieniami przeglądarki podczas przetwarzania specjalnie zaprojektowanej zawartości. Stwierdzono, że w przypadku obu problemów wykryto działające exploity, które są już wykorzystywane do przeprowadzania ataków.
Szczegółów na razie nie ujawniono, wiadomo jedynie, że pierwsza podatność (CVE-2022-26485) związana jest z dostępem do już zwolnionego obszaru pamięci (Use-after-free) w kodzie służącym do przetwarzania parametru XSLT, a druga (CVE-2022-26486) z dostępem do już zwolnionej pamięci w frameworku WebGPU IPC.
Wszystkim użytkownikom przeglądarek opartych na silniku Firefox zaleca się niezwłoczną instalację aktualizacji. Użytkownicy przeglądarki Tor opartej na gałęzi ESR przeglądarki Firefox 91 powinni zachować szczególną ostrożność podczas instalowania aktualizacji, ponieważ luki mogą prowadzić nie tylko do naruszenia bezpieczeństwa systemu, ale także do pozbawienia anonimowości użytkownika. Dla przeglądarki Tor nie została jeszcze utworzona aktualizacja eliminująca omawiane luki.
Źródło: opennet.ru