Исследователь взломал Mozilla Firefox всего за 8 секунд
Исследователь безопасности Манфред Пол (Manfred Paul) взломал Mozilla Firefox всего за 8 секунд в рамках хакерских соревнований Pwn2Own Vancouver 2022, завершившихся в прошлую пятницу.
В ходе атаки Пол использовал эксплоиты для двух ранее неизвестных уязвимостей, за что получил приз в размере $100 тыс. Позднее в тот же день он завоевал еще $50 тыс. за обнаружение ранее неизвестной уязвимости в Apple Safari.
CVE-2022-1802 – уязвимость JavaScript prototype pollution в реализации Top-Level Await. Позволяет злоумышленникам, скомпрометировавшим массив (Array) в JavaScript, выполнить код в привилегированном контексте.
CVE-2022-1529 – использование недоверенных входящих данных в индексации объектов JavaScript, что приводит к prototype pollution. Злоумышленник может отправить «сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript». В результате это приводит к prototype pollution, как описано выше.
К счастью, Mozilla Foundation молниеносно отреагировала на открытие Пола и сразу же выпустила экстренные исправления. Поскольку браузер Firefox обновляется автоматически в фоновом режиме, патчи уже были доставлены практически всем пользователям.
Исправленные версии:
Firefox v100.0.2 для настольных компьютеров;
Firefox v100.3.0 для Android;
Firefox v91.9.1 для корпоративных клиентов с расширенной поддержкой.