Pelepasan pangropéa Firefox 97.0.2 sareng 91.6.1 sayogi, ngalereskeun dua kerentanan anu parantos dipeunteun salaku masalah kritis. Kerentanan ngamungkinkeun anjeun ngaliwat isolasi sandbox sareng ngahontal palaksanaan kode anjeun kalayan hak istimewa browser nalika ngolah kontén anu dirarancang khusus. Disebutkeun yén pikeun duanana masalah ayana eksploitasi kerja parantos diidentifikasi anu parantos dianggo pikeun ngalaksanakeun serangan.
Rincian henteu acan diungkabkeun, ngan ukur dipikanyaho yén kerentanan munggaran (CVE-2022-26485) pakait sareng aksés kana daérah mémori anu parantos dibébaskeun (Paké-sanggeus-gratis) dina kode pikeun ngolah parameter XSLT, sareng anu kadua (CVE-2022-26486) kalayan aksés kana mémori anu parantos dibébaskeun dina kerangka WebGPU IPC.
Sadaya pangguna browser dumasar kana mesin Firefox disarankeun pikeun masang apdet langsung. Pamaké Tor Browser dumasar kana cabang ESR Firefox 91 kedah ati-ati pisan nalika masang apdet, sabab kerentanan tiasa nyababkeun henteu ngan ukur kompromi sistem, tapi ogé pikeun de-anonimisasi pangguna. Pembaruan anu ngaleungitkeun kerentanan anu ditaroskeun henteu acan didamel pikeun Tor Browser.
sumber: opennet.ru