Mozilla выпускает обновление Firefox для двух активно используемых уязвимостей

Mozilla выпустила дополнительное обновление Firefox версии 97.0.2, которое устраняет две ошибки, которые Mozilla официально классифицирует как критические. Поскольку версия ESR (для компаний) также затронута, для нее также доступно обновление. Mozilla также упоминает собственную почтовую программу Thunderbird. Эти две уязвимости известны как CVE-2022-26485 и CVE-2022-26486. В соответствующей рекомендации по безопасности Mozilla пишет, что получила сообщения о том, что уязвимости уже активно эксплуатируются.

Дефект “Use-after-free в обработке параметров XSLT” может позволить злоумышленникам, не имеющим прав или учетных записей на вашем компьютере, обманом заставить вас выполнить код вредоносного ПО, заманив вас на безобидно выглядящий веб-сайт, пишет в своем блоге безопасности компания Sophos. Дефект “Use-after-free in WebGPU-IPC-Framework” уже был использован для так называемого выхода из песочницы. Это позволит злоумышленникам обойти меры безопасности и внедрить вредоносное ПО через браузер.

Что нужно сделать?

Большинство веб-браузеров обновляются автоматически. Чтобы проверить свою версию или, при необходимости, инициировать обновление вручную, нажмите на контекстное меню в браузере Firefox, перейдите к пункту меню Справка и выберите О Firefox. В обычной версии вам нужен Firefox 97.0.2 или альтернативный Firefox ESR 91.6.1 (версия с расширенной поддержкой). Если вы используете версию для Android, вы можете найти Firefox 97.3.0 в Play Store. Те, кто использует Thunderbird: Этот недостаток устранен в версии Thunderbird 91.6.2.

Интересное на эту тему: Оптимизация Windows 11: Вы должны обновить эти 11 бесплатных инструментов