Avaldatud on Firefox 100.0.2, Firefox ESR 91.9.1 ja Thunderbird 91.9.1 korrigeerivad väljalasked, mis parandavad kaks kriitiliseks hinnatud turvaauku. Nendel päevadel toimuval võistlusel Pwn2Own 2022 demonstreeriti toimivat exploiti, mis võimaldas spetsiaalselt disainitud lehe avamisel liivakasti isolatsioonist mööda minna ja süsteemis koodi käivitada. Ärakasutamise autor pälvis 100 tuhande dollari suuruse auhinna.
Esimene haavatavus (CVE-2022-1802) esineb ooteoperaatori juurutamisel ja võimaldab rikkuda massiivi objekti meetodeid prototüübi omaduse muutmisega (“prototüübi saaste”). Teine haavatavus (CVE-2022-1529) võimaldab muuta prototüübi atribuuti JavaScripti objektide indekseerimise ajal valideerimata andmete töötlemisel. Turvaaugud võimaldavad JavaScripti koodi käivitada privilegeeritud vanemprotsessis.
Allikas: opennet.ru