Firefox 97.0.2 和 91.6.1 的維護版本現已發布,修復了兩個被評為嚴重問題的漏洞。 這些漏洞可讓您繞過沙箱隔離,並在處理特殊設計的內容時以瀏覽器權限執行程式碼。 據稱,對於這兩個問題,已確定存在已被用於實施攻擊的有效漏洞。
細節尚未公開,只知道第一個漏洞(CVE-2022-26485)與處理 XSLT 參數的程式碼中存取已釋放的記憶體區域(Use-after-free)有關,第二個漏洞與(CVE-2022-26486 ) 可以存取WebGPU IPC 框架中已釋放的記憶體。
建議所有基於 Firefox 引擎的瀏覽器用戶立即安裝更新。 基於 Firefox 91 ESR 分支的 Tor 瀏覽器使用者在安裝更新時應特別小心,因為漏洞不僅會導致系統受損,還會導致使用者去匿名化。 尚未為 Tor 瀏覽器建立消除相關漏洞的更新。
來源: opennet.ru