Тази седмица, на 19-ти, Mozilla пусна голяма актуализация за своя браузър. Няколко дни по-късно новата версия достигна официалните хранилища и днес, два дни по-късно, компанията вече пусна Firefox 66.0.1, версия, която идва да коригира два критични недостатъка в сигурността които бяха открити в състезанието за хакване на Pwn2Own, където са посветени на намирането и използването на този тип недостатъци, но за наше добро.
Firefox 66.0.1 е налично за Windows, Mac и Linux, но все още не е нито като модулен пакет, нито в официалните хранилища. Като се има предвид колко време отне пристигане на v66, можем да мислим, че v66.0.1 ще бъде наличен следващия понеделник. Ето защо snap пакетите или други подобни пакети като Flatpak са толкова важни: въпреки че все още не се появява в Snappy Store, пакетът snap получава актуализации чрез Push, тоест същата програма ги получава веднага щом бъде отворена.
Firefox 66.0.1 идва скоро в официалните хранилища
Лос грешки, които тази версия поправя Те са CVE-2019-9810 и CVE-2019-9813, и двете открити от Richard Zhu, Amat Cama и Niklas Baumstark чрез Zero Day Initiative на Trend Micro. Първият от двата описва a проблем с претоварване на буфера и неуспех при проверка на лимит отсъства във Firefox 66 поради неправилна информация за псевдоним в JonMonkey JIT компилатор за метода Array.prototype.slice.
От друга страна, CVE-2019-9813 е на път проблем „объркване при въвеждане“ в самия IonMonkey JIT, но този път в код. Тази грешка може да позволи на злонамерен потребител да чете и пише произволна памет, което беше (и все още е възможно в v66) възможно поради неправилно боравене с__proto__ мутации.
Mozilla насърчава всички потребители да актуализират колкото е възможно повече. Както споменахме по-рано, потребителите на Windows и macOS ще могат да го направят от предупреждението, което Firefox показва, когато е налична актуализация, благодарение на факта, че Push актуализациите отдавна съществуват в тези системи. Потребителите на Linux могат изтеглете новата версия и извършете ръчна инсталация, но не е най-препоръчителната. Тези, които използват модулния пакет, ще могат да се актуализират сега, докато тези от нас, които използват версията APT, ще трябва да изчакат няколко дни. Нека изчакаме тогава.
