موزیلا برای رفع تعدادی آسیب‌پذیری Zero-Day در چندین محصول خود که در مسابقه‌ی هک Pwn2Own Vancouver 2022 مورد بهره‌برداری قرار گرفته بودند، بروزرسانی امنیتی منتشر کرده است.
این آسیب‌پذیری‌ها دارای شدت بحرانی بوده و یک مهاجم با بهره‌برداری موفق از این آسیب‌پذیری‌ها می‌تواند امکان اجرای کدهای مخرب جاوا اسکریپت را در دستگاه‌های موبایل و دسکتاپ دارای نسخه‌ی آسیب‌پذیر فایرفاکس به دست آورد.

آسیب‌پذیری‌ها به شرح زیر است:

• CVE-2022-1802: این آسیب‌پذیری با شدت بحرانی، یک نقص Prototype Pollution است که در پیاده‌سازی موتور جاوا اسکریپت Top-Level Await وجود دارد و به واسطه‌ی ساختار Prototype-based inheritance به وجود آمده است. این آسیب‌پذیری به مهاجم اجازه می‌دهد متدهای یک شیء Array را با استفاده از prototype pollution در جاوا اسکریپت خراب کرده و به اجرای کد دلخواه با سطح دسترسی بالا دست یابد.
• CVE-2022-1529: این آسیب‌پذیری با شدت بحرانی، به مهاجمان اجازه می‌دهد تا در حملات prototype pollution، از اعتبارسنجی نامناسب ورودی در شاخص‌گذاری شیء جاوا، سوءاستفاده کنند. بدین صورت که مهاجم می‌تواند یک پیام به فرآیند (process) والد ارسال نماید، جایی که در آن، محتویات برای شاخص‌گذاری مضاعف (double-index) در یک شیء جاوا اسکریپت مورد استفاده قرار می‌گیرند، که می‌تواند منجر به prototype pollution و در نهایت اجرای جاوا اسکریپت تحت کنترل مهاجم در فرآیند والد که دارای حق دسترسی بالا است شود.

این آسیب‌پذیری‌ها محصولات Firefox، Firefox ESR، Firefox for Android و Thunderbird را تحت تأثیر قرار می‌دهند.

آسیب‌پذیری‌های مذکور در نسخه‌های Firefox 100.0.2، Firefox ESR 91.9.1، Firefox for Android 100.3 و Thunderbird 91.9.1 برطرف شده‌اند.

به کاربران و مدیران توصیه می‌شود، هر چه سریع‌تر مرورگر فایرفاکس خود را به نسخه‌های جدید ب‎روزرسانی نمایند.