Es wurden Korrekturversionen von Firefox 100.0.2, Firefox ESR 91.9.1 und Thunderbird 91.9.1 veröffentlicht, die zwei als kritisch eingestufte Schwachstellen beheben. Beim dieser Tage stattfindenden Wettbewerb Pwn2Own 2022 wurde ein funktionierender Exploit demonstriert, der es ermöglichte, die Sandbox-Isolation beim Öffnen einer speziell gestalteten Seite zu umgehen und Code im System auszuführen. Der Autor des Exploits wurde mit einem Preisgeld von 100 Dollar ausgezeichnet.
Die erste Schwachstelle (CVE-2022-1802) liegt in der Implementierung des Wait-Operators und ermöglicht die Beschädigung von Methoden im Array-Objekt durch Änderung der Prototypeigenschaft („Prototype Pollution“). Die zweite Schwachstelle (CVE-2022-1529) ermöglicht die Änderung der Prototypeigenschaft bei der Verarbeitung nicht validierter Daten während der Indizierung von JavaScript-Objekten. Die Schwachstellen ermöglichen die Ausführung von JavaScript-Code in einem privilegierten übergeordneten Prozess.
Source: opennet.ru