Boli zverejnené opravné vydania Firefoxu 100.0.2, Firefox ESR 91.9.1 a Thunderbird 91.9.1, ktoré opravujú dve zraniteľnosti hodnotené ako kritické. Na súťaži Pwn2Own 2022, ktorá sa v týchto dňoch koná, sa ukázal pracovný exploit, ktorý umožnil obísť izoláciu sandboxu pri otvorení špeciálne navrhnutej stránky a spustení kódu v systéme. Autor exploitu bol ocenený cenou 100 tisíc dolárov.
Prvá zraniteľnosť (CVE-2022-1802) je prítomná v implementácii operátora wait a umožňuje poškodenie metód v objekte Array zmenou vlastnosti prototypu („znečistenie prototypu“). Druhá zraniteľnosť (CVE-2022-1529) umožňuje zmeniť vlastnosť prototypu pri spracovaní nevalidovaných údajov počas indexovania objektov JavaScriptu. Chyby umožňujú spustenie kódu JavaScript v privilegovanom rodičovskom procese.
Zdroj: opennet.ru