Firefox 100.0.2، Firefox ESR 91.9.1 اور Thunderbird 91.9.1 کی اصلاحی ریلیز شائع ہو چکی ہیں، جن میں دو کمزوریوں کو درست کیا گیا ہے جنہیں اہم قرار دیا گیا ہے۔ ان دنوں ہونے والے Pwn2Own 2022 مقابلے میں، ایک کام کرنے والے کارنامے کا مظاہرہ کیا گیا جس نے خصوصی طور پر ڈیزائن کیے گئے صفحہ کو کھولتے وقت سینڈ باکس کی تنہائی کو نظرانداز کرنا اور سسٹم میں کوڈ پر عمل درآمد کرنا ممکن بنایا۔ استحصال کے مصنف کو 100 ہزار ڈالر کا انعام دیا گیا۔
پہلی کمزوری (CVE-2022-1802) انتظار آپریٹر کے نفاذ میں موجود ہے اور پروٹوٹائپ پراپرٹی ("پروٹوٹائپ آلودگی") کو تبدیل کرکے ارے آبجیکٹ میں طریقوں کو خراب کرنے کی اجازت دیتی ہے۔ دوسری کمزوری (CVE-2022-1529) جاوا اسکرپٹ آبجیکٹ کی انڈیکسنگ کے دوران غیر تصدیق شدہ ڈیٹا پر کارروائی کرتے وقت پروٹو ٹائپ پراپرٹی کو تبدیل کرنا ممکن بناتی ہے۔ کمزوریاں جاوا اسکرپٹ کوڈ کو مراعات یافتہ پیرنٹ کے عمل میں لاگو کرنے کی اجازت دیتی ہیں۔
ماخذ: opennet.ru