Firefox 97.0.2 和 91.6.1 的维护版本现已发布,修复了两个被评为严重问题的漏洞。 这些漏洞允许您绕过沙箱隔离,并在处理特殊设计的内容时以浏览器权限执行代码。 据称,对于这两个问题,已确定存在已被用于实施攻击的有效漏洞。
细节尚未公开,只知道第一个漏洞(CVE-2022-26485)与处理 XSLT 参数的代码中访问已释放的内存区域(Use-after-free)有关,第二个漏洞与处理 XSLT 参数的代码中访问已释放的内存区域(释放后使用)相关。 (CVE-2022-26486) 可以访问 WebGPU IPC 框架中已释放的内存。
建议所有基于 Firefox 引擎的浏览器用户立即安装更新。 基于 Firefox 91 ESR 分支的 Tor 浏览器用户在安装更新时应特别小心,因为漏洞不仅会导致系统受损,还会导致用户去匿名化。 尚未为 Tor 浏览器创建消除相关漏洞的更新。
来源: opennet.ru