Mozilla исправила две критические уязвимости в Firefox и Thunderbird

Обновления получили следующие продукты:

• Firefox 100.0.2
• Firefox ESR 91.9.1
• Firefox for Android 100.3
• Thunderbird 91.9.1

Установка обновлений проходит в автоматическом режиме. Пользователи Firefox могут перейти в Меню > Справка > О Firefox для ручной проверки доступности обновлений. Браузер скачает новую версию и сразу установит ее. Для завершения установки потребуется перезапуск браузера.

Пользователи Thunderbird могут перейти в Справка > О Thunderbird. Thunderbird проверит обновления и установит доступные пакеты.

В официальных заметках к выпуску значится одна запись, подтверждающее, что это обновление безопасности. Mozilla опубликовала рекомендации по безопасности для всех затронутых версий веб-браузера, в которых содержится дополнительная информация о проблемах:

В обновлении исправлены две проблемы безопасности, которые имеют критический уровень серьезности — наивысший и возможных. О них сообщил Mozilla Манфред Пол через инициативу Trend Micro Zero Day Initiative.

• CVE-2022-1802: Загрязнение прототипа в реализации ожидания верхнего уровня. Если злоумышленнику удается повредить методы объекта Array в JavaScript с помощью загрязнения прототипа, то он может выполнять код JavaScript в привилегированном контексте.
• CVE-2022-1529: ненадежные входные данные, используемые при индексировании объектов JavaScript, приводили к загрязнению прототипа. Злоумышленник мог отправить сообщение родительскому процессу, содержимое которого использовалось для двойного индексирования в объект JavaScript, что приводило к загрязнению прототипа и выполнению кода JavaScript в привилегированном родительском процессе.

Связанные отчеты об ошибках ограничены. Mozilla не упоминает об атаках, нацеленных на эти уязвимости.

Пользователи Firefox и Thunderbird могут захотеть быстро обновить свои приложения, чтобы защитить их от атак, направленных на эти проблемы.