Firefox 100.0.2، Firefox ESR 91.9.1 ۽ Thunderbird 91.9.1 جي اصلاحي رليز شايع ٿي چڪيون آھن، ٻن خطرن کي درست ڪندي جن کي نازڪ قرار ڏنو ويو آھي. Pwn2Own 2022 مقابلي ۾ انهن ڏينهن ۾ ٿي رهيو آهي، هڪ ڪم ڪندڙ استحصال جو مظاهرو ڪيو ويو جنهن کي خاص طور تي ٺهيل صفحي کي کولڻ ۽ سسٽم ۾ ڪوڊ تي عمل ڪرڻ وقت سينڊل باڪس جي الڳ ٿيڻ کي نظرانداز ڪرڻ ممڪن بڻائي. استحصال جي ليکڪ کي 100 هزار ڊالر جي انعام سان نوازيو ويو.
پهرين ڪمزوري (CVE-2022-1802) انتظار آپريٽر جي عمل ۾ موجود آهي ۽ طريقن کي اجازت ڏئي ٿي Array اعتراض ۾ پروٽوٽائپ ملڪيت (“prototype pollution”) کي تبديل ڪندي خراب ٿيڻ جي. ٻيو نقصان (CVE-2022-1529) اهو ممڪن بڻائي ٿو پروٽوٽائپ ملڪيت کي تبديل ڪرڻ جڏهن جاوا اسڪرپٽ شين جي انڊيڪسنگ دوران غير تصديق ٿيل ڊيٽا پروسيسنگ. ڪمزورين جاوا اسڪرپٽ ڪوڊ کي اجازت ڏئي ٿو ته مراعات يافته والدين جي عمل ۾ عمل ڪيو وڃي.
جو ذريعو: opennet.ru