Er zijn corrigerende releases van Firefox 100.0.2, Firefox ESR 91.9.1 en Thunderbird 91.9.1 gepubliceerd, waarin twee als kritiek beoordeelde kwetsbaarheden zijn opgelost. Tijdens de Pwn2Own 2022-wedstrijd die tegenwoordig plaatsvindt, werd een werkende exploit gedemonstreerd die het mogelijk maakte om sandbox-isolatie te omzeilen bij het openen van een speciaal ontworpen pagina en code in het systeem uit te voeren. De auteur van de exploit ontving een prijs van 100 duizend dollar.
De eerste kwetsbaarheid (CVE-2022-1802) is aanwezig in de implementatie van de await-operator en zorgt ervoor dat methoden in het Array-object kunnen worden beschadigd door de prototype-eigenschap te wijzigen (“prototypevervuiling”). De tweede kwetsbaarheid (CVE-2022-1529) maakt het mogelijk om de prototype-eigenschap te wijzigen bij het verwerken van niet-gevalideerde gegevens tijdens het indexeren van JavaScript-objecten. Door de kwetsbaarheden kan JavaScript-code worden uitgevoerd in een bevoorrecht ouderproces.
Bron: opennet.ru