Korrektiv Verëffentlechunge vu Firefox 100.0.2, Firefox ESR 91.9.1 an Thunderbird 91.9.1 goufen publizéiert, déi zwee Schwachstelle fixéieren, déi als kritesch bewäert sinn. Beim Pwn2Own 2022 Concours, deen dës Deeg stattfënnt, gouf e funktionnéierend Ausbeutung bewisen, deen et méiglech gemaach huet Sandkëschtisolatioun z'iwwergoen wann Dir eng speziell entwéckelt Säit opmaacht an de Code am System ausféiert. Den Auteur vum Exploit gouf e Präis vun 100 dausend Dollar ausgezeechent.
Déi éischt Schwachstelle (CVE-2022-1802) ass präsent an der Ëmsetzung vum Waart Bedreiwer an erlaabt Methoden am Array Objet ze korruptéieren andeems d'Prototypeigenschaften geännert ginn ("Prototyp Pollutioun"). Déi zweet Schwachstelle (CVE-2022-1529) mécht et méiglech d'Prototypeigenschaften z'änneren beim Veraarbechtung vun onvalidéierten Donnéeën während der Indexéierung vun JavaScript Objekter. D'Schwieregkeeten erlaben JavaScript Code an engem privilegiéierten Elterendeel auszeféieren.
Source: opennet.ru