Firefox 100.0.2, Firefox ESR 91.9.1 жана Thunderbird 91.9.1 түзөтүүчү релиздери басылып чыкты, алар критикалык деп бааланган эки алсыздыкты оңдоду. Ушул күндөрү өтүп жаткан Pwn2Own 2022 сынагында атайын иштелип чыккан баракты ачууда жана системада кодду аткарууда кумдук обочолонууну айланып өтүүгө мүмкүндүк берген жумушчу эксплойт көрсөтүлдү. Эксплуатациянын автору 100 миң доллар сыйлык менен сыйланган.
Биринчи алсыздык (CVE-2022-1802) күтүү операторун ишке ашырууда бар жана Массив объектиндеги ыкмаларды прототиптин касиетин өзгөртүү аркылуу бузууга мүмкүндүк берет («прототиптин булганышы»). Экинчи аялуу (CVE-2022-1529) JavaScript объектилерин индекстөө учурунда текшерилбеген маалыматтарды иштетүүдө прототиптин касиетин өзгөртүүгө мүмкүндүк берет. Алсыздыктар JavaScript кодун артыкчылыктуу ата-эне процессинде аткарууга мүмкүндүк берет.
Source: opennet.ru