Исследователь взломал Mozilla Firefox всего за 8 секунд

Исследователь безопасности Манфред Пол (Manfred Paul) взломал Mozilla Firefox всего за 8 секунд в рамках хакерских соревнований Pwn2Own Vancouver 2022, завершившихся в прошлую пятницу.

В ходе атаки Пол использовал эксплоиты для двух ранее неизвестных уязвимостей, за что получил приз в размере $100 тыс. Позднее в тот же день он завоевал еще $50 тыс. за обнаружение ранее неизвестной уязвимости в Apple Safari.

CVE-2022-1802 – уязвимость JavaScript prototype pollution в реализации Top-Level Await. Позволяет злоумышленникам, скомпрометировавшим массив (Array) в JavaScript, выполнить код в привилегированном контексте.

CVE-2022-1529 – использование недоверенных входящих данных в индексации объектов JavaScript, что приводит к prototype pollution. Злоумышленник может отправить «сообщение родительскому процессу, содержимое которого используется для двойного индексирования в объект JavaScript». В результате это приводит к prototype pollution, как описано выше.

К счастью, Mozilla Foundation молниеносно отреагировала на открытие Пола и сразу же выпустила экстренные исправления. Поскольку браузер Firefox обновляется автоматически в фоновом режиме, патчи уже были доставлены практически всем пользователям.

Исправленные версии:

Firefox v100.0.2 для настольных компьютеров;

Firefox v100.3.0 для Android;

Firefox v91.9.1 для корпоративных клиентов с расширенной поддержкой.