Firefox 100.0.2, Firefox ESR 91.9.1 eta Thunderbird 91.9.1 bertsio zuzentzaileak argitaratu dira, kritiko gisa baloratu diren bi ahultasun konponduz. Egun hauetan egiten ari den Pwn2Own 2022 lehiaketan, laneko ustiapena frogatu zen, hare-kutxaren isolamendua saihestea posible egin zuen bereziki diseinatutako orri bat irekitzean eta sisteman kodea exekutatzen. Explotazioaren egileari 100 mila dolarreko saria eman zioten.
Lehen ahultasuna (CVE-2022-1802) await operadorearen inplementazioan dago eta Array objektuko metodoak hondatzea ahalbidetzen du prototipoaren propietatea aldatuz ("prototipoaren kutsadura"). Bigarren ahultasunak (CVE-2022-1529) JavaScript objektuen indexatzean baliogabetu gabeko datuak prozesatzen direnean prototipoaren propietatea aldatzea ahalbidetzen du. Ahultasunei esker, JavaScript kodea exekutatu daiteke guraso pribilegiodun prozesu batean.
Iturria: opennet.ru