En underhållsversion av Firefox 97.0.2 och 91.6.1 är tillgänglig, som åtgärdar två sårbarheter som har klassificerats som kritiska problem. Sårbarheterna gör att du kan kringgå sandlådeisolering och uppnå exekvering av din kod med webbläsarbehörighet när du bearbetar speciellt utformat innehåll. Det anges att för båda problemen har förekomsten av fungerande bedrifter identifierats som redan används för att utföra attacker.
Detaljer har ännu inte avslöjats, det är bara känt att den första sårbarheten (CVE-2022-26485) är associerad med åtkomst till ett redan frigjort minnesområde (Use-after-free) i koden för bearbetning av XSLT-parametern, och den andra (CVE-2022-26486) med åtkomst till redan frigjort minne i WebGPU IPC-ramverket.
Alla användare av webbläsare baserade på Firefox-motorn rekommenderas att installera uppdateringar omedelbart. Användare av Tor Browser baserad på ESR-grenen av Firefox 91 bör vara särskilt försiktiga när de installerar uppdateringar, eftersom sårbarheter inte bara kan leda till att systemet kompromissar, utan också till avanonymisering av användaren. En uppdatering som eliminerar sårbarheterna i fråga har ännu inte skapats för Tor Browser.
Källa: opennet.ru