Megjelent a Firefox 100.0.2, Firefox ESR 91.9.1 és Thunderbird 91.9.1 javító kiadása, amelyek két kritikusnak minősített sebezhetőséget javítanak ki. A napokban zajló Pwn2Own 2022 versenyen egy működő exploitot mutattak be, amely lehetővé tette a sandbox izoláció megkerülését egy speciálisan kialakított oldal megnyitásakor és kód futtatását a rendszerben. Az exploit szerzőjét 100 ezer dolláros díjjal jutalmazták.
Az első sérülékenység (CVE-2022-1802) a await operátor megvalósításában található, és lehetővé teszi az Array objektum metódusainak megsértését a prototípus tulajdonság megváltoztatásával ("prototípus szennyezés"). A második biztonsági rés (CVE-2022-1529) lehetővé teszi a prototípus tulajdonság megváltoztatását a JavaScript objektumok indexelése során érvényesítetlen adatok feldolgozásakor. A sérülékenységek lehetővé teszik JavaScript-kód futtatását egy privilegizált szülőfolyamatban.
Forrás: opennet.ru