Mozilla выпустила внеплановое обновление, которое исправляет две критические уязвимости нулевого дня в Firefox. Обнаруженные уязвимости активно эксплуатируются в сетевых атаках на пользователей браузера.

Первая уязвимость CVE-2022-26485 связана с ошибкой обработки XSLT параметров и может использоваться для удаленного выполнения произвольного кода на вашем компьютере при посещении специально созданного Web сайта.

Вторая ошибка CVE-2022-26486 обнаружена в WebGPU IPC Framework и позволяет удаленному злоумышленнику выйти за пределы песочницы. Уязвимости такого типа могут использоваться как самостоятельно (например для неавторизованного получения доступа к файлам) так и в сочетании с RCE ошибками, позволяя вредоносному коду выйти за установленные ограничения безопасности вашим браузером, тем самым усугубляя и без того плохую ситуацию.

Доступны обновления для Firefox 97.0.2 Stable, Firefox ESR 91.6.1, Firefox для Android 97.3.0 и Firefox Focus 97.3.0.

https://www.securitylab.ru/news/530462.php