Publikimet korrigjuese të Firefox 100.0.2, Firefox ESR 91.9.1 dhe Thunderbird 91.9.1 janë publikuar, duke rregulluar dy dobësi të vlerësuara si kritike. Në konkursin Pwn2Own 2022 që po zhvillohet këto ditë, u demonstrua një shfrytëzim pune që bëri të mundur anashkalimin e izolimit të sandbox kur hapni një faqe të projektuar posaçërisht dhe ekzekutoni kodin në sistem. Autorit të shfrytëzimit iu dha një çmim prej 100 mijë dollarësh.
Dobësia e parë (CVE-2022-1802) është e pranishme në zbatimin e operatorit të pritjes dhe lejon që metodat në objektin Array të korruptohen duke ndryshuar vetinë e prototipit ("prototipi ndotje"). Dobësia e dytë (CVE-2022-1529) bën të mundur ndryshimin e vetive të prototipit kur përpunohen të dhëna të pavlefshme gjatë indeksimit të objekteve JavaScript. Dobësitë lejojnë që kodi JavaScript të ekzekutohet në një proces prindëror të privilegjuar.
Burimi: opennet.ru