簡述
Mozilla上周釋出安全更新公告，以修補桌機、手機版瀏覽器及郵件軟體 Thunderbird 中 2 個可執行惡意 JavaScript 重大風險漏洞。

 

漏洞說明
兩個漏洞分別為 CVE-2022-1802 及 CVE-2022-1529，Mozilla 皆將它們列為「重大」風險。CVE-2022-1802為 Top-Level Await 實作中的原型鏈污染（prototype pollution）漏洞。漏洞可使攻擊者能通過原型污染破壞 JavaScript 中 Array 對象的方法，從而實現在特權上下文中執行攻擊者控制的 JavaScript 代碼。CVE-2022-1529 則允許攻擊者傳送方法訊息到主行程查詢JavaScript物件索引，導到原型鏈污染，最後使攻擊者控制的 JavaScript 可以在具權限的主行程中執行。

 

影響範圍
這兩個漏洞影響的產品包括 Firefox 桌機、Android 版及 ESR 版瀏覽器，以及 Thunderbird 郵件軟體。

 

修補方式
Mozilla 已釋出 Firefox 100.0.2、Firefox ESR 91.9.1、Firefox for Android 100.3 及Thunderbird 91.9.1 修補，用戶應盡速進行安裝。

 

參考資料：
https://www.ithome.com.tw/news/151086
https://portswigger.net/daily-swig/tails-users-warned-not-to-launch-bundled-tor-browser-until-security-fix-is-released