Kaluaran corrective of Firefox 100.0.2, Firefox ESR 91.9.1 jeung Thunderbird 91.9.1 geus diterbitkeun, ngalereskeun dua kerentanan dipeunteun kritis. Dina kompetisi Pwn2Own 2022 anu lumangsung dinten-ayeuna, eksploitasi anu tiasa dianggo anu ngamungkinkeun pikeun ngalangkungan isolasi sandbox nalika muka halaman anu dirarancang khusus sareng ngalaksanakeun kode dina sistem. Panulis eksploitasi dileler hadiah 100 rébu dolar.
The kerentanan munggaran (CVE-2022-1802) hadir dina palaksanaan operator await tur ngamungkinkeun métode dina objék Array bisa ruksak ku cara ngarobah sipat prototipe ("polusi prototipe"). Kerentanan kadua (CVE-2022-1529) ngamungkinkeun pikeun ngarobah sipat prototipe nalika ngolah data anu teu valid nalika ngindeks objék JavaScript. The vulnerabilities ngidinan kode JavaScript bisa dieksekusi dina prosés indungna husus.
sumber: opennet.ru