Firefox 100.0.2:sta, Firefox ESR 91.9.1:stä ja Thunderbird 91.9.1:stä on julkaistu korjaavat julkaisut, jotka korjaavat kaksi kriittisiksi luokiteltua haavoittuvuutta. Näinä päivinä järjestetyssä Pwn2Own 2022 -kilpailussa esiteltiin toimiva hyväksikäyttö, joka mahdollisti hiekkalaatikon eristyksen ohituksen avattaessa erityisesti suunniteltua sivua ja suorittaa koodia järjestelmässä. Hyödynnyksen kirjoittaja palkittiin 100 tuhannen dollarin palkinnolla.
Ensimmäinen haavoittuvuus (CVE-2022-1802) on await-operaattorin toteutuksessa, ja se mahdollistaa Array-objektin menetelmien vioittamisen prototyypin ominaisuutta muuttamalla ("prototyypin saastuminen"). Toinen haavoittuvuus (CVE-2022-1529) mahdollistaa prototyypin ominaisuuden muuttamisen käsiteltäessä vahvistamattomia tietoja JavaScript-objektien indeksoinnin aikana. Haavoittuvuudet sallivat JavaScript-koodin suorittamisen etuoikeutetussa pääprosessissa.
Lähde: opennet.ru