Ir publicēti Firefox 100.0.2, Firefox ESR 91.9.1 un Thunderbird 91.9.1 koriģējošie laidieni, kas novērš divas ievainojamības, kas novērtētas kā kritiskas. Šajās dienās notiekošajā konkursā Pwn2Own 2022 tika demonstrēts darbojošs eksploats, kas ļāva apiet smilškastes izolāciju, atverot īpaši izstrādātu lapu un izpildīt kodu sistēmā. Ekspluatācijas autoram tika piešķirta balva 100 tūkstošu dolāru apmērā.
Pirmā ievainojamība (CVE-2022-1802) atrodas gaidīšanas operatora ieviešanā, un tā ļauj bojāt metodes masīva objektā, mainot prototipa īpašību (“prototipa piesārņojums”). Otrā ievainojamība (CVE-2022-1529) ļauj mainīt prototipa rekvizītu, apstrādājot nevalidētus datus JavaScript objektu indeksēšanas laikā. Ievainojamības ļauj izpildīt JavaScript kodu priviliģētā vecākprocesā.
Avots: opennet.ru