O Mozilla Firefox corrigiu recentemente duas falhas na segurança do tipo Use-After-Free (UAF), rotuladas como CVE-2022-26485 e CVE-2022-26486, e de periculosidade crítica. Ambas foram relatadas pela empresa chinesa Internet Qihoo 360 e, enquanto a primeira refere-se a uma falha do UAF em processar parâmetros XSLT, a segunda registrava o problema no framework WebGPU PIC. Esses gênero de falha está relacionado ao uso incorreto da memória dinâmica durante a execução do programa.

O CVE-2022-26485 refere-se a uma falha do UAF no processamento de parâmetros XSLT, enquanto o outro trata do UAF no framework WebGPU PIC. Os dois problemas motivaram relatos de ataques.

Basicamente o que ocorria era que, quando um conjunto de dados era movido ou excluído de um ponteiro, e ele ficava livre em vez de ser excluído, criava-se um apontador pendente, que poderia receber outras informações, como dados enviados por um invasor e a substituição do código.

Os erros foram ajustados no Firefox 97.0.2, Firefox ESR 91.6.1, Firefox para Android 97.3.0 e Focus 97.3.0.