Апублікаваныя якія карэктуюць выпускі Firefox 100.0.2, Firefox ESR 91.9.1 і Thunderbird 91.9.1 з выпраўленнем двух уразлівасцяў, якім прысвоены крытычны ўзровень небяспекі. На які праходзіць у гэтыя дні спаборніцтве Pwn2Own 2022 прадэманстраваны працоўны эксплоіт, які дазволіў пры адкрыцці адмыслова аформленай старонкі абыйсці sandbox-ізаляцыю і выканаць код у сістэме. Аўтару эксплоіту прысуджана прэмія ў 100 тысяч долараў.
Першая ўразлівасць (CVE-2022-1802) прысутнічае ў рэалізацыі аператара await і дазваляе дамагчыся пашкоджанні метадаў у аб'екце Array праз змену ўласцівасці prototype ("prototype pollution"). Другая ўразлівасць (CVE-2022-1529) дае магчымасць змяніць уласцівасць prototype пры апрацоўцы неправераных дадзеных падчас індэксацыі аб'ектаў JavaScript. Уразлівасці дазваляюць выканаць JavaScript-код у прывілеяваным бацькоўскім працэсе.
Крыніца: opennet.ru