Korrigerende udgivelser af Firefox 100.0.2, Firefox ESR 91.9.1 og Thunderbird 91.9.1 er blevet udgivet, og rettet to sårbarheder vurderet som kritiske. Ved Pwn2Own 2022-konkurrencen, der finder sted i disse dage, blev der demonstreret en fungerende udnyttelse, der gjorde det muligt at omgå sandkasseisolering, når man åbnede en specialdesignet side og eksekverede kode i systemet. Forfatteren til udnyttelsen blev tildelt en pris på 100 tusind dollars.
Den første sårbarhed (CVE-2022-1802) er til stede i implementeringen af await-operatøren og gør det muligt at ødelægge metoder i Array-objektet ved at ændre prototypeegenskaben ("prototype pollution"). Den anden sårbarhed (CVE-2022-1529) gør det muligt at ændre prototypeegenskaben ved behandling af uvaliderede data under indeksering af JavaScript-objekter. Sårbarhederne gør det muligt at udføre JavaScript-kode i en privilegeret overordnet proces.
Kilde: opennet.ru