Yo te pibliye degaje korektif Firefox 100.0.2, Firefox ESR 91.9.1 ak Thunderbird 91.9.1, ki te repare de frajilite yo konsidere kòm kritik. Nan konpetisyon Pwn2Own 2022 k ap dewoule jou sa yo, yo te demontre yon eksplwa k ap travay ki te fè li posib pou kontoune izolasyon sandbox lè w ap louvri yon paj ki fèt espesyalman epi egzekite kòd nan sistèm nan. Otè eksplwatasyon an te bay yon pri 100 mil dola.
Premye vilnerabilite (CVE-2022-1802) prezan nan aplikasyon operatè a ap tann epi li pèmèt metòd ki nan objè Array la korije pa chanje pwopriyete pwototip ("polisyon pwototip"). Dezyèm vilnerabilite (CVE-2022-1529) fè li posib pou chanje pwopriyete pwototip la lè w ap trete done ki pa valide pandan endèks objè JavaScript yo. Vulnerabilite yo pèmèt kòd JavaScript yo dwe egzekite nan yon pwosesis paran privilejye.
Sous: opennet.ru