Đã có bản phát hành bảo trì của Firefox 97.0.2 và 91.6.1, sửa hai lỗ hổng được đánh giá là vấn đề nghiêm trọng. Các lỗ hổng cho phép bạn bỏ qua việc cách ly hộp cát và thực thi mã của mình bằng các đặc quyền của trình duyệt khi xử lý nội dung được thiết kế đặc biệt. Người ta tuyên bố rằng đối với cả hai vấn đề, sự hiện diện của các khai thác đang hoạt động đã được xác định là đã được sử dụng để thực hiện các cuộc tấn công.
Thông tin chi tiết vẫn chưa được tiết lộ, người ta chỉ biết rằng lỗ hổng đầu tiên (CVE-2022-26485) liên quan đến việc truy cập vào vùng bộ nhớ đã được giải phóng (Use-after-free) trong mã xử lý tham số XSLT và lỗ hổng thứ hai. (CVE-2022-26486) với quyền truy cập vào bộ nhớ đã được giải phóng trong khung WebGPU IPC.
Tất cả người dùng trình duyệt dựa trên công cụ Firefox nên cài đặt bản cập nhật ngay lập tức. Người dùng Tor Browser dựa trên nhánh ESR của Firefox 91 phải đặc biệt cẩn thận khi cài đặt các bản cập nhật, vì các lỗ hổng có thể không chỉ dẫn đến sự xâm phạm hệ thống mà còn khiến người dùng mất ẩn danh. Bản cập nhật loại bỏ các lỗ hổng được đề cập vẫn chưa được tạo cho Tor Browser.
Nguồn: opennet.ru