Mozilla heeft een nieuwe versie van Firefox uitgebracht die twee actief aangevallen zerodaylekken in de browser verhelpt. Het komt zelden voor dat Mozilla updates voor dergelijke kwetsbaarheden uitrolt. Zo kreeg Firefox vorig jaar voor zover bekend met geen enkele zeroday te maken.
Via de kwetsbaarheden kan een aanvaller uit de sandbox van de browser breken en willekeurige code op het systeem uitvoeren. Om misbruik van de twee kritieke kwetsbaarheden te maken, aangeduid als CVE-2022-26485 en CVE-2022-26486, is er geen interactie van gebruikers vereist. Alleen het bezoeken van een kwaadaardige of gecompromitteerde website of het te zien krijgen van een besmette advertentie is voldoende.
De twee zerodaylekken zijn verholpen in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3, Focus 97.3 en Thunderbird 91.6.2. Updaten zal in de meeste gevallen automatisch gebeuren.
Deze posting is gelocked. Reageren is niet meer mogelijk.