Angreifer könnten an zwei von Mozilla als „kritisch“ eingestuften Schwachstellen in Firefox, Firefox ESR, Firefox for Android und Thunderbird ansetzen und im schlimmsten Fall eigenen Code ausführen. Nun gibt es dagegen abgesicherte Versionen. Die beiden Sicherheitslücken (CVE-2022-1529, CVE-2022-1802) wurden während des Hacker-Wettbewerbs Pwn2Own bekannt. Dort griff ein Teilnehmer die Anwendungen erfolgreich über Prototyp-Pollution-Attacken im Kontext von JavaScript an. JavaScript arbeitet prototypenbasiert. Neu erstellte Objekte übernehmen die Eigenschaften und Methoden des Prototyps „Objekt“. Diese objektbasierte Vererbung ist eigentlich praktisch, kann aber auch missbraucht werden. Ein Angreifer muss nur den Prototyp „Objekt“ modifizieren, um alle Objekte zu manipulieren und anwendungsweite Änderungen vorzunehmen. Genau das hat der Sicherheitsforscher im Wettbewerb gemacht. Im Anschluss konnte er eigenes JavaScript ausführen. Für das erfolgreiche Ausnutzen der Lücken hat er eine Belohnung von 100.000 US-Dollar bekommen. Wie aus der Warnmeldung hervorgeht, sind die Versionen Firefox 100.0.2, Firefox ESR 91.9.1, Firefox for Android 100.3 und Thunderbird 91.9.1 dagegen gerüstet.