Uma versão de manutenção do Firefox 97.0.2 e 91.6.1 está disponível, corrigindo duas vulnerabilidades que foram classificadas como problemas críticos. As vulnerabilidades permitem que você ignore o isolamento da sandbox e execute seu código com privilégios de navegador ao processar conteúdo especialmente projetado. Afirma-se que para ambos os problemas foi identificada a presença de exploits funcionais que já estão sendo utilizados para realizar ataques.
Os detalhes ainda não foram divulgados, sabe-se apenas que a primeira vulnerabilidade (CVE-2022-26485) está associada ao acesso a uma área de memória já liberada (Use-after-free) no código de processamento do parâmetro XSLT, e a segunda (CVE-2022-26486) com acesso à memória já liberada no framework WebGPU IPC.
Recomenda-se que todos os usuários de navegadores baseados no mecanismo Firefox instalem atualizações imediatamente. Os usuários do navegador Tor baseado no ramo ESR do Firefox 91 devem ter cuidado especial ao instalar atualizações, pois as vulnerabilidades podem levar não apenas ao comprometimento do sistema, mas também à desanonimização do usuário. Ainda não foi criada uma atualização que elimine as vulnerabilidades em questão para o navegador Tor.
Fonte: opennet.ru