Firefox 100.0.2, Firefox ESR 91.9.1 va Thunderbird 91.9.1 tuzatuvchi relizlari chop etildi, ular tanqidiy deb baholangan ikkita zaiflikni tuzatdi. Shu kunlarda bo'lib o'tayotgan Pwn2Own 2022 tanlovida maxsus mo'ljallangan sahifani ochish va tizimda kodni bajarishda sandbox izolyatsiyasini chetlab o'tish imkonini beruvchi ishchi ekspluatatsiya namoyish etildi. Ekspluatatsiya muallifi 100 ming dollar mukofot bilan taqdirlandi.
Birinchi zaiflik (CVE-2022-1802) kutish operatorini amalga oshirishda mavjud va prototip xususiyatini o'zgartirish orqali Array ob'ektidagi usullarni buzishga imkon beradi ("prototip ifloslanishi"). Ikkinchi zaiflik (CVE-2022-1529) JavaScript obyektlarini indekslash paytida tasdiqlanmagan ma'lumotlarni qayta ishlashda prototip xususiyatini o'zgartirish imkonini beradi. Zaifliklar JavaScript kodini imtiyozli asosiy jarayonda bajarishga imkon beradi.
Manba: opennet.ru