Mozilla a publié des mises à jour de sécurité pour plusieurs produits afin de corriger deux vulnérabilités de type "zero-day" exploitées lors du concours de piratage Pwn2Own Vancouver 2022, permettant d'exécuter du code JavaScript sur des appareils mobiles et de bureau utilisant.

La première vulnérabilité, suivie comme CVE-2022-1802, peut permettre à un attaquant de corrompre les méthodes d'un objet Array en JavaScript en utilisant la pollution de prototype pour réaliser l'exécution de code JavaScript dans un contexte privilégié.

La seconde (CVE-2022-1529) permet aux attaquants d'abuser de l'indexation des objets Java en utilisant une validation d'entrée incorrecte dans les attaques par injection de pollution de prototype.

"Un attaquant aurait pu envoyer un message au processus parent dont le contenu aurait été utilisé pour une double indexation dans un objet JavaScript, conduisant à une pollution de prototype et finalement à l'exécution de JavaScript contrôlé par l'attaquant dans le processus parent privilégié", explique Mozilla.

Les zero-days ont été corrigés dans Firefox 100.0.2, Firefox ESR 91.9.1, Firefox pour Android 100.3 et Thunderbird 91.9.1.

L'Agence pour la cybersécurité et la sécurité des infrastructures (CISA) encourage les administrateurs et les utilisateurs à corriger ces failles de sécurité, étant donné que les acteurs de la menace pourraient les exploiter pour "prendre le contrôle d'un système affecté".