Au fost publicate versiuni corective ale Firefox 100.0.2, Firefox ESR 91.9.1 și Thunderbird 91.9.1, reparând două vulnerabilități considerate critice. La competiția Pwn2Own 2022 care se desfășoară în aceste zile, a fost demonstrată o exploatare funcțională care a făcut posibilă ocolirea izolației sandbox la deschiderea unei pagini special concepute și executarea codului în sistem. Autorul exploatării a primit un premiu de 100 de mii de dolari.
Prima vulnerabilitate (CVE-2022-1802) este prezentă în implementarea operatorului await și permite ca metodele din obiectul Array să fie corupte prin modificarea proprietății prototipului („poluarea prototipului”). A doua vulnerabilitate (CVE-2022-1529) face posibilă modificarea proprietății prototipului la procesarea datelor nevalidate în timpul indexării obiectelor JavaScript. Vulnerabilitățile permit executarea codului JavaScript într-un proces părinte privilegiat.
Sursa: opennet.ru