Korrigerende utgivelser av Firefox 100.0.2, Firefox ESR 91.9.1 og Thunderbird 91.9.1 har blitt publisert, og fikset to sårbarheter vurdert som kritiske. På Pwn2Own 2022-konkurransen som finner sted i disse dager, ble det demonstrert en fungerende utnyttelse som gjorde det mulig å omgå sandkasseisolasjon når man åpner en spesialdesignet side og kjører kode i systemet. Forfatteren av utnyttelsen ble tildelt en pris på 100 tusen dollar.
Den første sårbarheten (CVE-2022-1802) er tilstede i implementeringen av await-operatøren og gjør at metoder i Array-objektet kan ødelegges ved å endre prototypeegenskapen ("prototype pollution"). Den andre sårbarheten (CVE-2022-1529) gjør det mulig å endre prototypeegenskapen ved behandling av uvaliderte data under indeksering av JavaScript-objekter. Sikkerhetene gjør at JavaScript-kode kan kjøres i en privilegert overordnet prosess.
Kilde: opennet.ru