Rilis korektif Firefox 100.0.2, Firefox ESR 91.9.1 dan Thunderbird 91.9.1 telah diterbitkan, memperbaiki dua kerentanan yang dinilai kritis. Pada kompetisi Pwn2Own 2022 yang berlangsung hari ini, eksploitasi yang berfungsi ditunjukkan yang memungkinkan untuk melewati isolasi kotak pasir saat membuka halaman yang dirancang khusus dan mengeksekusi kode dalam sistem. Penulis eksploitasi dianugerahi hadiah 100 ribu dolar.
Kerentanan pertama (CVE-2022-1802) muncul dalam implementasi operator menunggu dan memungkinkan metode di objek Array rusak dengan mengubah properti prototipe (“polusi prototipe”). Kerentanan kedua (CVE-2022-1529) memungkinkan perubahan properti prototipe saat memproses data yang tidak divalidasi selama pengindeksan objek JavaScript. Kerentanan memungkinkan kode JavaScript dieksekusi dalam proses induk yang memiliki hak istimewa.
Sumber: opennet.ru