Byla zveřejněna opravná vydání Firefoxu 100.0.2, Firefox ESR 91.9.1 a Thunderbird 91.9.1, která opravuje dvě zranitelnosti hodnocené jako kritické. Na soutěži Pwn2Own 2022, která se v těchto dnech koná, byl předveden pracovní exploit, který umožnil obejít izolaci sandboxu při otevření speciálně navržené stránky a spuštění kódu v systému. Autor exploitu byl oceněn cenou 100 tisíc dolarů.
První zranitelnost (CVE-2022-1802) je přítomna v implementaci operátora wait a umožňuje poškození metod v objektu Array změnou vlastnosti prototypu (“prototype znečištění”). Druhá chyba zabezpečení (CVE-2022-1529) umožňuje změnit vlastnost prototypu při zpracování neověřených dat během indexování objektů JavaScriptu. Tyto chyby zabezpečení umožňují spouštění kódu JavaScript v privilegovaném nadřazeném procesu.
Zdroj: opennet.ru