A Mozilla pede a todos os usuários do Firefox que instalem atualizações que resolvam falhas críticas de segurança.

As pessoas que usam o Firefox como um de seus navegadores devem atualizá-lo agora que ele ganhou patches para duas falhas críticas que estão sendo exploradas à solta. 

A Mozilla acaba de lançar o Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 e Focus 97.3.0 com as correções de segurança. Os bugs também foram corrigidos no Thunderbird 91.6.2. 

Tanto o CVE-2022-26485 quanto o CVE-2022-26486 são falhas críticas relacionadas ao uso após a liberação da memória. O CVE-2022-26486 também pode levar a uma fuga de sandbox explorável, de acordo com a Mozilla . 

"A remoção de um parâmetro XSLT durante o processamento pode ter levado a um uso pós-livre explorável. Tivemos relatos de ataques em estado selvagem abusando dessa falha", explica Mozilla. 

"Uma mensagem inesperada na estrutura WebGPU IPC pode levar a uma fuga de sandbox explorável e de uso posterior livre. Tivemos relatos de ataques na natureza abusando dessa falha."

WebGPU é uma especificação de navegador para várias interfaces que permitem que uma página da Web use a GPU de um sistema para melhorar os gráficos. 

A Mozilla não divulgou mais detalhes, mas credita os relatórios de bugs a pesquisadores da empresa de segurança chinesa Qihoo 360 ATA, Wang Gang, Liu Jialei, Du Sihang, Huang Yi e Yang Kang.    

Embora o número de usuários do Firefox esteja diminuindo, a Mozilla teve um desempenho bastante bom na análise do Google Project Zero sobre a rapidez com que os fornecedores de software corrigiram os bugs . A Mozilla corrigiu nove dos 10 bugs que afetaram seu software dentro de 90 dias após o relatório inicial. Também levou em média 46 dias para corrigir os bugs em comparação com 44 dias para o Google, 69 dias para a Apple e 83 dias para a Microsoft. 

Olhando para os navegadores, o Chrome foi o mais rápido e com 40 bugs corrigidos teve um tempo médio de correção de 5,3 dias. O WebKit teve 27 bugs e um tempo médio de correção de 11,6 dias, enquanto o Firefox teve oito bugs e um tempo médio de correção de 16,6 dias. 

Fonte: Zdnet