Firefox 97.0.2 e Firefox ESR 91.6.1 sono disponibili con correzioni di sicurezza critiche

Mozilla ha rilasciato nuove versioni del browser Web Firefox il 5 marzo 2022. Le nuove versioni del browser risolvono due vulnerabilità di sicurezza critiche nel browser Web Firefox.

Firefox 97.0.2

Sono disponibili aggiornamenti per Firefox 97.0.2 Stable, Firefox ESR 91.6.1, Firefox per Android 97.3.0 e Firefox Focus 97.3.0.

Tutte le versioni del browser sono configurate per l’aggiornamento automatico, ma ciò avviene in base a un’implementazione pianificata e non all’istante. Gli utenti desktop di Firefox possono velocizzare l’installazione dell’aggiornamento di sicurezza procedendo come segue: Selezionare Menu > Aiuto > Informazioni su Firefox

Si apre una piccola finestra che mostra la versione attualmente installata. Firefox esegue un controllo degli aggiornamenti all’apertura della finestra e scaricherà il nuovo aggiornamento automaticamente o su richiesta dell’utente. Firefox deve essere riavviato per completare il processo. Le versioni 97.02 o 91.6.1 dovrebbero essere visualizzate successivamente all’apertura della finestra Informazioni, a seconda del ramo di Firefox utilizzato.

Firefox su Android viene aggiornato tramite Google Play. Non è disponibile alcuna opzione per velocizzare l’installazione dell’aggiornamento tramite Google Play.

Le note di rilascio ufficiali elencano le seguenti vulnerabilità di sicurezza fisse nelle versioni di Firefox:

Critico — CVE-2022-26485: Use-after-free nell’elaborazione dei parametri XSLT

La rimozione di un parametro XSLT durante l’elaborazione avrebbe potuto portare a un utilizzo successivo gratuito sfruttabile. Abbiamo avuto segnalazioni di attacchi in natura che abusavano di questo difetto.

Critico — CVE-2022-26486: Use-after-free in WebGPU IPC Framework

Un messaggio inaspettato nel framework IPC WebGPU potrebbe portare a un’escape sandbox utilizzabile dopo l’utilizzo gratuito. Abbiamo avuto segnalazioni di attacchi in natura che abusavano di questo difetto.

Entrambe le vulnerabilità hanno un livello di gravità critico, il più alto disponibile. Mozilla osserva che entrambe le vulnerabilità vengono sfruttate in natura, ma non è chiaro quanto siano diffusi gli attacchi. I bug collegati non sono pubblici.

Gli utenti di Firefox sono incoraggiati ad aggiornare i propri browser il prima possibile per proteggere il browser ei dati dagli attacchi mirati alle vulnerabilità.