Korektaj eldonoj de Firefox 100.0.2, Firefox ESR 91.9.1 kaj Thunderbird 91.9.1 estis publikigitaj, riparante du vundeblecojn taksitajn kiel kritikajn. Ĉe la konkurso Pwn2Own 2022 okazanta ĉi tiuj tagoj, funkcianta ekspluato estis pruvita, kiu ebligis preterpasi sablokestan izolitecon dum malfermo de speciale desegnita paĝo kaj ekzekuti kodon en la sistemo. La aŭtoro de la ekspluato ricevis premion de 100 mil dolaroj.
La unua vundebleco (CVE-2022-1802) ĉeestas en la efektivigo de la atendu funkciigisto kaj permesas al metodoj en la Array-objekto esti koruptitaj ŝanĝante la prototipan posedaĵon ("prototipa poluo"). La dua vundebleco (CVE-2022-1529) ebligas ŝanĝi la prototipan posedaĵon dum prilaborado de nevalidigitaj datumoj dum indeksado de JavaScript-objektoj. La vundeblecoj permesas JavaScript-kodon esti efektivigita en privilegiita gepatra procezo.
fonto: opennet.ru