Firefox 100.0.2, Firefox ESR 91.9.1 və Thunderbird 91.9.1-in düzəldici buraxılışları dərc edilib və kritik olaraq qiymətləndirilən iki boşluq aradan qaldırılıb. Bu günlərdə keçirilən Pwn2Own 2022 müsabiqəsində xüsusi hazırlanmış səhifəni açarkən və sistemdə kodu yerinə yetirərkən sandbox izolyasiyasından yan keçməyə imkan verən işlək istismar nümayiş etdirildi. İstismar müəllifi 100 min dollar mükafata layiq görülüb.
Birinci zəiflik (CVE-2022-1802) gözləmə operatorunun həyata keçirilməsində mövcuddur və prototip xassəsini dəyişdirməklə Array obyektindəki metodların korlanmasına imkan verir (“prototip çirklənməsi”). İkinci boşluq (CVE-2022-1529) JavaScript obyektlərinin indeksləşdirilməsi zamanı təsdiqlənməmiş məlumatların işlənməsi zamanı prototip xassəsini dəyişməyə imkan verir. Zəifliklər JavaScript kodunu imtiyazlı ana prosesdə icra etməyə imkan verir.
Mənbə: opennet.ru