تم نشر إصدارات تصحيحية من Firefox 100.0.2 وFirefox ESR 91.9.1 وThunderbird 91.9.1، مما أدى إلى إصلاح ثغرتين أمنيتين تم تصنيفهما على أنهما حرجتان. في مسابقة Pwn2Own 2022 التي تقام هذه الأيام، تم عرض استغلال عملي جعل من الممكن تجاوز عزل وضع الحماية عند فتح صفحة مصممة خصيصًا وتنفيذ التعليمات البرمجية في النظام. حصل مؤلف الاستغلال على جائزة قدرها 100 ألف دولار.
الثغرة الأمنية الأولى (CVE-2022-1802) موجودة في تنفيذ عامل الانتظار وتسمح بإتلاف الأساليب الموجودة في كائن Array عن طريق تغيير خاصية النموذج الأولي ("تلوث النموذج الأولي"). تتيح الثغرة الأمنية الثانية (CVE-2022-1529) إمكانية تغيير خاصية النموذج الأولي عند معالجة البيانات التي لم يتم التحقق من صحتها أثناء فهرسة كائنات JavaScript. تسمح نقاط الضعف بتنفيذ كود JavaScript في عملية أصل مميزة.
المصدر: opennet.ru