Firefox 100.0.2, Firefox ESR 91.9.1 และ Thunderbird 91.9.1 เวอร์ชันแก้ไขได้รับการเผยแพร่แล้ว โดยแก้ไขช่องโหว่สองรายการที่ได้รับการจัดอันดับว่าสำคัญ ในการแข่งขัน Pwn2Own 2022 ที่จัดขึ้นทุกวันนี้ มีการสาธิตช่องโหว่การทำงานที่ทำให้สามารถข้ามการแยกแซนด์บ็อกซ์ได้เมื่อเปิดเพจที่ออกแบบมาเป็นพิเศษและรันโค้ดในระบบ ผู้เขียนการหาประโยชน์ได้รับรางวัลมูลค่า 100 ดอลลาร์
ช่องโหว่แรก (CVE-2022-1802) มีอยู่ในการดำเนินการ await Operator และอนุญาตให้วิธีการใน Array object เสียหายโดยการเปลี่ยนคุณสมบัติต้นแบบ (“มลพิษต้นแบบ”) ช่องโหว่ที่สอง (CVE-2022-1529) ทำให้สามารถเปลี่ยนคุณสมบัติต้นแบบได้เมื่อประมวลผลข้อมูลที่ไม่ได้รับการตรวจสอบในระหว่างการสร้างดัชนีของออบเจ็กต์ JavaScript ช่องโหว่นี้ทำให้โค้ด JavaScript สามารถทำงานได้ในกระบวนการระดับบนสุดที่มีสิทธิ์
ที่มา: opennet.ru