Le 5 mars 2022, Mozilla a publié la mise à jour Firefox 97.0.2 sur le canal stable du navigateur et la mise à jour Firefox ESR 91.6.1 sur le canal de support à long terme. Les deux versions corrigent des vulnérabilités critiques dans le navigateur Firefox.
Les mises à jour suivantes sont disponibles :
Firefox 97.0.2 stable
Firefox ESR 91.6.1
Firefox pour Android 97.3.0
Firefox Focus 97.3.0.
Les nouvelles versions seront automatiquement installées sur les systèmes d'exploitation de bureau pris en charge. Les utilisateurs de Firefox peuvent accéder à Menu > Aide > À propos de Firefox pour vérifier manuellement les mises à jour. Le navigateur téléchargera la nouvelle version et l'installera immédiatement.
La mise à jour pour Firefox pour Android et Firefox Focus est distribuée via les services Google Play. Il n'y a aucun moyen d'accélérer le processus de mise à jour.
Les correctifs de sécurité suivants sont identifiés dans les notes de version officielles :
CVE-2022-26485 (Critique) - Utilisation des données après une vulnérabilité de mémoire libre dans la gestion des paramètres XSLT. Mozilla a reçu des rapports d'attaques réelles qui abusent de cette vulnérabilité.
CVE-2022-26486 (critique) - Utilisation des données après une vulnérabilité de mémoire libre dans WebGPU IPC Framework. Un message inattendu dans un environnement IPC WebGPU peut entraîner une sortie non sécurisée du bac à sable. Mozilla a reçu des rapports d'attaques réelles qui abusent de cette vulnérabilité.
Les deux vulnérabilités ont la cote de gravité la plus élevée de "Critique". Mozilla note que des cas d'exploitation des deux vulnérabilités ont été enregistrés, mais l'ampleur des attaques n'est pas mentionnée.
Les utilisateurs de Firefox sont invités à mettre à jour leur navigateur dès que possible pour se protéger contre les attaques.
2022-03-05 16:41:35
Auteur: Vitalii Babkin