Korrigerande utgåvor av Firefox 100.0.2, Firefox ESR 91.9.1 och Thunderbird 91.9.1 har publicerats och åtgärdat två sårbarheter som klassats som kritiska. Vid tävlingen Pwn2Own 2022 som äger rum i dagarna visades en fungerande exploit som gjorde det möjligt att kringgå sandlådeisolering när man öppnade en specialdesignad sida och exekverade kod i systemet. Författaren till exploateringen tilldelades ett pris på 100 tusen dollar.
Den första sårbarheten (CVE-2022-1802) finns i implementeringen av await-operatören och gör att metoder i Array-objektet kan korrumperas genom att ändra prototypegenskapen ("prototype pollution"). Den andra sårbarheten (CVE-2022-1529) gör det möjligt att ändra prototypegenskapen vid behandling av ovaliderad data under indexering av JavaScript-objekt. Sårbarheterna tillåter att JavaScript-kod exekveras i en privilegierad överordnad process.
Källa: opennet.ru