Доступний коригуючий випуск Firefox 97.0.2 та 91.6.1 з усуненням двох уразливостей, яким надано статус критичних проблем. Вразливості дозволяють обійти sandbox-ізоляцію та домогтися виконання свого коду з привілеями браузера при обробці спеціально оформленого контенту. Стверджується, що для обох проблем виявлено наявність робочих експлоїтів, які вже використовуються для атак.
Деталі поки не розкриваються, відомо тільки, що перша вразливість (CVE-2022-26485) пов'язана зі зверненням до звільненої області пам'яті (Use-after-free) у коді для обробки параметра XSLT, а друга (CVE-2022-26486) зверненням до звільненої пам'яті в IPC фреймворку WebGPU.
Всім користувачам браузерів на движку Firefox рекомендується терміново встановити оновлення. Особливо уважними до встановлення оновлень слід бути користувача Tor Browser, заснованому на ESR-гілці Firefox 91, так як уразливості можуть призвести не тільки до компрометації системи, але й до деанонімізації користувача. Оновлення з усуненням уразливостей, що розглядаються, для Tor Browser поки не сформовано.
Джерело: opennet.ru