Objavljena su korektivna izdanja Firefoxa 100.0.2, Firefox ESR 91.9.1 i Thunderbird 91.9.1, popravljajući dvije ranjivosti ocijenjene kao kritične. Na takmičenju Pwn2Own 2022 koje se održava ovih dana, demonstriran je radni exploit koji je omogućio da se zaobiđe sandbox izolacija prilikom otvaranja posebno dizajnirane stranice i izvrši kod u sistemu. Autoru eksploatacije dodeljena je nagrada od 100 hiljada dolara.
Prva ranjivost (CVE-2022-1802) prisutna je u implementaciji operatora await i omogućava da se metode u objektu Array oštete promjenom svojstva prototipa („zagađenje prototipa“). Druga ranjivost (CVE-2022-1529) omogućava promjenu svojstva prototipa prilikom obrade nepotvrđenih podataka tokom indeksiranja JavaScript objekata. Ranjivosti omogućavaju izvršavanje JavaScript koda u privilegovanom roditeljskom procesu.
izvor: opennet.ru