Keluaran pembetulan Firefox 100.0.2, Firefox ESR 91.9.1 dan Thunderbird 91.9.1 telah diterbitkan, membetulkan dua kelemahan yang dinilai sebagai kritikal. Pada pertandingan Pwn2Own 2022 yang berlangsung hari ini, eksploitasi kerja telah ditunjukkan yang memungkinkan untuk memintas pengasingan kotak pasir apabila membuka halaman yang direka khas dan melaksanakan kod dalam sistem. Pengarang eksploitasi itu dianugerahkan hadiah 100 ribu dolar.
Kerentanan pertama (CVE-2022-1802) hadir dalam pelaksanaan pengendali menunggu dan membenarkan kaedah dalam objek Array rosak dengan menukar sifat prototaip ("pencemaran prototaip"). Kerentanan kedua (CVE-2022-1529) memungkinkan untuk menukar sifat prototaip apabila memproses data tidak sah semasa pengindeksan objek JavaScript. Kerentanan membenarkan kod JavaScript untuk dilaksanakan dalam proses induk istimewa.
Sumber: opennet.ru