30.06.2022

Обновление Firefox 97.0.2 и 91.6.1 с устранением критических 0-day уязвимостей

Доступен корректирующий выпуск Firefox 97.0.2 и 91.6.1 с устранением двух уязвимостей, которым присвоен статус критических проблем. Уязвимости позволяют обойти sandbox-изоляцию и добиться выполнения своего кода с привилегиями браузера при обработке специально оформленного контента. Утверждается, что для обеих проблем выявлено наличие рабочих эксплоитов, которые уже используются для совершения атак.

Детали пока не раскрываются, известно только, что первая уязвимость (CVE-2022-26485) связана с обращением к уже освобождённой области памяти (Use-after-free) в коде для обработки параметра XSLT, а вторая (CVE-2022-26486) обращением к уже освобождённой памяти в IPC фреймворке WebGPU.

Всем пользователям рекомендуется срочно установить обновления. Особенно внимательными к установке обновлений следует быть пользователя Tor Browser, основанном на ESR-ветке Firefox 91, так как уязвимости могут привести не только к компрометации системы, но и к деанонимизации пользователя. Обновление с устранением рассматриваемых уязвимостей для Tor Browser пока не сформировано.

Источник.