Опубліковано коригувальні випуски Firefox 100.0.2, Firefox ESR 91.9.1 та Thunderbird 91.9.1 з виправленням двох уразливостей, яким надано критичний рівень небезпеки. На змаганні, що проходить у ці дні, Pwn2Own 2022 продемонстрований робочий експлоїт, що дозволив при відкритті спеціально оформленої сторінки обійти sandbox-ізоляцію і виконати код в системі. Автору експлоїту присуджено премію у 100 тисяч доларів.
Перша вразливість (CVE-2022-1802) присутня в реалізації оператора await і дозволяє досягти пошкодження методів в об'єкті Array через зміну властивості prototype (prototype pollution). Друга вразливість (CVE-2022-1529) дає можливість змінити властивість prototype під час обробки неперевірених даних під час індексації об'єктів JavaScript. Уразливості дозволяють виконати JavaScript-код у привілейованому батьківському процесі.
Джерело: opennet.ru