Обновление Firefox 97.0.2 и 91.6.1 с устранением критических 0-day уязвимостей

AlexZir · 06.03.2022, 16:36

Доступен корректирующий выпуск Firefox 97.0.2 и 91.6.1 с устранением двух уязвимостей, которым присвоен статус критических проблем. Уязвимости позволяют обойти sandbox-изоляцию и добиться выполнения своего кода с привилегиями браузера при обработке специально оформленного контента. Утверждается, что для обеих проблем выявлено наличие рабочих эксплоитов, которые уже используются для совершения атак.
Детали пока не раскрываются, известно только, что первая уязвимость (CVE-2022-26485) связана с обращением к уже освобождённой области памяти (Use-after-free) в коде для обработки параметра XSLT, а вторая (CVE-2022-26486) обращением к уже освобождённой памяти в IPC фреймворке WebGPU.
Всем пользователям браузеров на движке Firefox рекомендуется срочно установить обновления. Особенно внимательными к установке обновлений следует быть пользователям Tor Browser, основанном на ESR-ветке Firefox 91, так как уязвимости могут привести не только к компрометации системы, но и к деанонимизации пользователя. Обновление с устранением рассматриваемых уязвимостей для Tor Browser пока не сформировано.

Источник: https://www.opennet.ru/opennews/art.shtml?num=56808

Актуальная версия Tor Browser 11.0.6 (based on Mozilla Firefox 91.6.0esr), к сожалению, для неё пока патч не выпустили, уже проверил.

06.03.2022, 16:36	#1 (permalink)
AlexZir support Регистрация: 19.08.2007 Адрес: Зея Сообщений: 15,797 Записей в дневнике: 71 Сказал(а) спасибо: 166 Поблагодарили 203 раз(а) в 86 сообщениях Репутация: 75760	Обновление Firefox 97.0.2 и 91.6.1 с устранением критических 0-day уязвимостей Доступен корректирующий выпуск Firefox 97.0.2 и 91.6.1 с устранением двух уязвимостей, которым присвоен статус критических проблем. Уязвимости позволяют обойти sandbox-изоляцию и добиться выполнения своего кода с привилегиями браузера при обработке специально оформленного контента. Утверждается, что для обеих проблем выявлено наличие рабочих эксплоитов, которые уже используются для совершения атак. Детали пока не раскрываются, известно только, что первая уязвимость (CVE-2022-26485) связана с обращением к уже освобождённой области памяти (Use-after-free) в коде для обработки параметра XSLT, а вторая (CVE-2022-26486) обращением к уже освобождённой памяти в IPC фреймворке WebGPU. Всем пользователям браузеров на движке Firefox рекомендуется срочно установить обновления. Особенно внимательными к установке обновлений следует быть пользователям Tor Browser, основанном на ESR-ветке Firefox 91, так как уязвимости могут привести не только к компрометации системы, но и к деанонимизации пользователя. Обновление с устранением рассматриваемых уязвимостей для Tor Browser пока не сформировано. Источник: https://www.opennet.ru/opennews/art.shtml?num=56808 Актуальная версия Tor Browser 11.0.6 (based on Mozilla Firefox 91.6.0esr), к сожалению, для неё пока патч не выпустили, уже проверил. __________________ Убить всех человеков!

Опции темы
Версия для печати Отправить по электронной почте
Опции просмотра
Линейный вид Комбинированный вид Древовидный вид

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070