I versioni currettivi di Firefox 100.0.2, Firefox ESR 91.9.1 è Thunderbird 91.9.1 sò stati publicati, correggendu duie vulnerabilità classificate cum'è critiche. À a cumpetizione Pwn2Own 2022 chì si svolge in questi ghjorni, hè statu dimustratu un sfruttamentu di travagliu chì hà permessu di scaccià l'isolamentu di sandbox quandu apre una pagina apposta è eseguisce codice in u sistema. L'autore di u sfruttamentu hè statu attribuitu un premiu di 100 mila dollari.
A prima vulnerabilità (CVE-2022-1802) hè presente in l'implementazione di l'operatore d'attesa è permette à i metudi in l'ughjettu Array per esse corrupted cambiendu a pruprietà di u prototipu ("prototype pollution"). A seconda vulnerabilità (CVE-2022-1529) permette di cambià a pruprietà di u prototipu quandu si tratta di dati micca validati durante l'indexazione di l'uggetti JavaScript. E vulnerabilità permettenu u codice JavaScript per esse eseguitu in un prucessu parentale privilegiatu.
Source: opennet.ru