Ang mga corrective release ng Firefox 100.0.2, Firefox ESR 91.9.1 at Thunderbird 91.9.1 ay nai-publish, na nag-aayos ng dalawang mga kahinaan na na-rate bilang kritikal. Sa kumpetisyon ng Pwn2Own 2022 na nagaganap sa mga araw na ito, ipinakita ang isang gumaganang pagsasamantala na naging posible na i-bypass ang paghihiwalay ng sandbox kapag nagbubukas ng isang espesyal na idinisenyong pahina at nag-execute ng code sa system. Ang may-akda ng pagsasamantala ay iginawad ng premyo na 100 libong dolyar.
Ang unang kahinaan (CVE-2022-1802) ay naroroon sa pagpapatupad ng naghihintay na operator at nagbibigay-daan sa mga pamamaraan sa Array object na masira sa pamamagitan ng pagpapalit ng prototype property (βprototype pollutionβ). Ginagawang posible ng pangalawang kahinaan (CVE-2022-1529) na baguhin ang prototype property kapag nagpoproseso ng hindi wastong data sa panahon ng pag-index ng mga object ng JavaScript. Ang mga kahinaan ay nagpapahintulot sa JavaScript code na maisakatuparan sa isang privileged na proseso ng magulang.
Pinagmulan: opennet.ru