Opublikowano wersje korygujące Firefoksa 100.0.2, Firefox ESR 91.9.1 i Thunderbird 91.9.1, naprawiające dwie luki ocenione jako krytyczne. Na odbywającym się obecnie konkursie Pwn2Own 2022 zademonstrowano działający exploit, który pozwolił na ominięcie izolacji sandboksa podczas otwierania specjalnie zaprojektowanej strony i wykonanie kodu w systemie. Autor exploita otrzymał nagrodę w wysokości 100 tysięcy dolarów.
Pierwsza luka (CVE-2022-1802) występuje w implementacji operatora Wait i umożliwia uszkodzenie metod w obiekcie Array poprzez zmianę właściwości prototypu („zanieczyszczenie prototypu”). Druga podatność (CVE-2022-1529) umożliwia zmianę właściwości prototype podczas przetwarzania niezatwierdzonych danych podczas indeksowania obiektów JavaScript. Luki umożliwiają wykonanie kodu JavaScript w uprzywilejowanym procesie nadrzędnym.
Źródło: opennet.ru