Objavljene so bile popravne izdaje Firefox 100.0.2, Firefox ESR 91.9.1 in Thunderbird 91.9.1, ki odpravljajo dve ranljivosti, ocenjeni kot kritični. Na tekmovanju Pwn2Own 2022, ki poteka te dni, je bil prikazan delujoč exploit, ki je omogočil obiti izolacijo peskovnika pri odpiranju posebej oblikovane strani in izvesti kodo v sistemu. Avtor podviga je prejel nagrado v višini 100 tisoč dolarjev.
Prva ranljivost (CVE-2022-1802) je prisotna v implementaciji operaterja await in omogoča, da se metode v objektu Array poškodujejo s spreminjanjem lastnosti prototipa (»onesnaženje prototipa«). Druga ranljivost (CVE-2022-1529) omogoča spreminjanje lastnosti prototipa pri obdelavi nepreverjenih podatkov med indeksiranjem objektov JavaScript. Ranljivosti omogočajo izvajanje kode JavaScript v privilegiranem nadrejenem procesu.
Vir: opennet.ru