Τα άτομα που χρησιμοποιούν τον Firefox ως ένα από τα προγράμματα περιήγησής τους θα πρέπει να τον ενημερώσουν άμεσα καθώς η Mozilla κυκλοφόρησε ενημερώσεις κώδικα για να διορθώσει δύο κρίσιμα ελαττώματα που υφίστανται ενεργή εκμετάλλευση.
Δείτε επίσης: Mozilla: Σπασμένα site λόγω των user-agent των Firefox και Chrome 100
Δείτε επίσης: Η Mozilla αποσύρει τον VR browser Firefox Reality
Η Mozilla μόλις κυκλοφόρησε τα Firefox 97.0.2, Firefox ESR 91.6.1, Firefox για Android 97.3.0 και Focus 97.3.0 με επιδιορθώσεις ασφαλείας. Τα σφάλματα διορθώνονται και στο Thunderbird 91.6.2.
Τόσο το CVE-2022-26485 όσο και το CVE-2022-26486 είναι κρίσιμα ελαττώματα που σχετίζονται με τη χρήση μετά τη δωρεάν μνήμη. Το CVE-2022-26486 θα μπορούσε να οδηγήσει σε exploitable sandbox escape, σύμφωνα με τη Mozilla.
“Η κατάργηση μιας παραμέτρου XSLT κατά τη διάρκεια της επεξεργασίας θα μπορούσε να οδηγήσει σε ένα exploitable use-after-free. Είχαμε αναφορές για επιθέσεις που καταχράστηκαν αυτό το ελάττωμα”, εξηγεί η Mozilla.
“Ένα απροσδόκητο μήνυμα στο πλαίσιο WebGPU IPC θα μπορούσε να οδηγήσει σε ένα use-after-free και exploitable sandbox escape.”
Το WebGPU είναι μια προδιαγραφή προγράμματος περιήγησης για διάφορα interfaces που επιτρέπουν σε μια ιστοσελίδα να χρησιμοποιεί τη GPU ενός συστήματος για βελτιωμένα γραφικά.
Η Mozilla δεν δημοσίευσε περισσότερες λεπτομέρειες, αλλά πιστώνει τις αναφορές σφαλμάτων στους ερευνητές της κινεζικής εταιρείας ασφαλείας Qihoo 360 ATA, των Wang Gang, Liu Jialei, Du Sihang, Huang Yi και Yang Kang.
Δείτε επίσης: Mozilla Firefox: Επιδιορθώνει σφάλμα που έδινε δικαιώματα διαχειριστή
Ενώ οι αριθμοί χρηστών του Firefox μειώνονται, η Mozilla είχε αρκετά καλή απόδοση στην ανάλυση του Google Project Zero σχετικά με το πόσο γρήγορα οι προμηθευτές λογισμικού διόρθωσαν σφάλματα. Η Mozilla διόρθωσε εννέα από τα 10 σφάλματα που επηρεάζουν το λογισμικό της εντός 90 ημερών από την αρχική αναφορά. Χρειάστηκαν κατά μέσο όρο 46 ημέρες για να διορθωθούν σφάλματα σε σύγκριση με 44 ημέρες για την Google, 69 ημέρες για την Apple και 83 ημέρες για τη Microsoft.
Πηγή πληροφοριών: zdnet.com
