Ua paʻi ʻia nā hoʻokuʻu hoʻoponopono o Firefox 100.0.2, Firefox ESR 91.9.1 a me Thunderbird 91.9.1, e hoʻoponopono ana i ʻelua mau nāwaliwali i helu ʻia he koʻikoʻi. Ma ka hoʻokūkū Pwn2Own 2022 i kēia mau lā, ua hōʻike ʻia kahi hana hana e hiki ai ke kāpae i kahi kaʻawale sandbox i ka wā e wehe ai i kahi ʻaoʻao i hoʻolālā ʻia a hoʻokō i nā code i ka ʻōnaehana. Ua loaʻa i ka mea kākau o ka exploit ka makana o 100 tausani kālā.
ʻO ka vulnerability mua (CVE-2022-1802) aia i ka hoʻokō ʻana i ka mea hoʻohana kali a ʻae i nā ʻano hana i ka Array object e hoʻopōʻino ʻia ma ka hoʻololi ʻana i ka waiwai prototype ("prototype pollution"). ʻO ka haʻahaʻa lua (CVE-2022-1529) hiki ke hoʻololi i ka waiwai prototype i ka wā e hoʻoili ai i ka ʻikepili i hoʻopaʻa ʻole ʻia i ka wā o ka helu ʻana i nā mea JavaScript. Hiki i nā mea palupalu ke hoʻokō i ka code JavaScript ma kahi kaʻina hana makua.
Source: opennet.ru