نسخه های اصلاحی فایرفاکس 100.0.2، فایرفاکس ESR 91.9.1 و Thunderbird 91.9.1 منتشر شده است که دو آسیب پذیری بحرانی را برطرف کرده است. در مسابقه Pwn2Own 2022 که این روزها برگزار می شود، یک اکسپلویت کاری نشان داده شد که امکان دور زدن ایزوله sandbox را هنگام باز کردن یک صفحه طراحی شده خاص و اجرای کد در سیستم فراهم می کرد. به نویسنده این اکسپلویت جایزه 100 هزار دلاری اهدا شد.
اولین آسیبپذیری (CVE-2022-1802) در اجرای عملگر await وجود دارد و به روشهای موجود در شی Array اجازه میدهد تا با تغییر ویژگی نمونه اولیه ("آلودگی اولیه") خراب شوند. آسیبپذیری دوم (CVE-2022-1529) امکان تغییر ویژگی نمونه اولیه را در هنگام پردازش دادههای تایید نشده در طول نمایهسازی اشیاء جاوا اسکریپت، ممکن میسازد. این آسیبپذیریها به کد جاوا اسکریپت اجازه میدهد تا در یک فرآیند والد ممتاز اجرا شود.
منبع: opennet.ru