Ġew ippubblikati rilaxxi korrettivi ta' Firefox 100.0.2, Firefox ESR 91.9.1 u Thunderbird 91.9.1, li jiffissaw żewġ vulnerabbiltajiet kklassifikati bħala kritiċi. Fil-kompetizzjoni Pwn2Own 2022 li qed issir f'dawn il-jiem, intwera sfruttament tax-xogħol li għamilha possibbli li jiġi evitat l-iżolament tas-sandbox meta tinfetaħ paġna ddisinjata apposta u tesegwixxi kodiċi fis-sistema. L-awtur ta 'l-isfruttament ingħata premju ta' 100 elf dollaru.
L-ewwel vulnerabbiltà (CVE-2022-1802) hija preżenti fl-implimentazzjoni tal-operatur await u tippermetti li metodi fl-oġġett Array jiġu korrotti billi tinbidel il-proprjetà tal-prototip ("tniġġis tal-prototip"). It-tieni vulnerabbiltà (CVE-2022-1529) tagħmilha possibbli li tinbidel il-proprjetà tal-prototip meta tiġi pproċessata dejta mhux validata waqt l-indiċjar ta 'oġġetti JavaScript. Il-vulnerabbiltajiet jippermettu li l-kodiċi JavaScript jiġi esegwit fi proċess ġenitur privileġġjat.
Sors: opennet.ru