As falhas que se encontram a ser ativamente exploradas são as seguintes:

CVE-2022-26485

- No parâmetro XSLT ou Extensible Stylesheet Language Transformations, uma linguagem com base em XML usada para a conversão de documentos XML em páginas web ou documentos em PDF. A falha reside na remoção do parâmetro aquando do processamento, levando a um use-after-free, isto é, uso incorreto da memória dinâmica

CVE-2022-26486

- falha na framework WebGPU, em que uma mensagem não expetável pode levar também a uma falha use-after-free e depois a um escape da sandbox

No geral, falhas use-after-free são usadas para explorar dados corrompidos e executar código arbitrário nos sistemas afetados.

Solução

- Firefox 97.0.2

- Firefox ESR 91.6.1

- Firefox for Android 97.3.0

- Focus 97.3.0

- Thunderbird 91.6.2

Advisory oficial da Mozilla: https://www.mozilla.org/en-US/security/advisories/mfsa2022-09/#CVE-2022-26485

Mais informações: https://www.bleepingcomputer.com/news/security/mozilla-firefox-9702-fixes-two-actively-exploited-zero-day-bugs/