Firefox 100.0.2, Firefox ESR 91.9.1 болон Thunderbird 91.9.1-ийн залруулах хувилбарууд нийтлэгдсэн бөгөөд чухал гэж үнэлэгдсэн хоёр эмзэг байдлыг зассан. Эдгээр өдрүүдэд болж буй Pwn2Own 2022 тэмцээнд тусгайлан боловсруулсан хуудсыг нээж, системд код ажиллуулах үед хамгаалагдсан хязгаарлагдмал орчны тусгаарлалтыг алгасах боломжтой болсон ажлын ашиглалтыг харуулсан. Мөлжлөгийн зохиогч 100 мянган долларын шагнал хүртжээ.
Эхний эмзэг байдал (CVE-2022-1802) нь хүлээх операторын хэрэгжилтэд байдаг бөгөөд прототипийн шинж чанарыг өөрчилснөөр Array объект дахь аргуудыг гэмтээхийг зөвшөөрдөг ("прототипийн бохирдол"). Хоёрдахь эмзэг байдал (CVE-2022-1529) нь JavaScript объектуудыг индексжүүлэх явцад баталгаажаагүй өгөгдлийг боловсруулах үед прототипийн шинж чанарыг өөрчлөх боломжийг олгодог. Сул талууд нь JavaScript кодыг давуу эрхтэй эх процесст гүйцэтгэх боломжийг олгодог.
Эх сурвалж: opennet.ru