Aquesta setmana, el passat dia 19, Mozilla va llançar una actualització important per al seu navegador. Un parell de dies després, la nova versió va arribar als repositoris oficials i avui, dos dies més tard, la companyia ha llançat Firefox 66.0.1, una versió que arriba per corregir dos errors de seguretat crítics que van ser trobats en el concurs de hacking Pwn2Own, on es dediquen a trobar i explotar aquest tipus d'errors, però per al nostre bé.
Firefox 66.0.1 està disponible per a Windows, Mac i Linux, Però encara no ho està ni com a paquet snap ni en els repositoris oficials. Tenint en compte el que va trigar a arribar la V66, podem pensar que la v66.0.1 estarà disponible el proper dilluns. És PER AIXÒ que són tan importants els paquets snap o altres similars com Flatpak: encara que en la Snappy Store encara no apareix, el paquet snap rep les actualitzacions via Push, és a dir, el mateix programa les rep res més obrir-lo.
Firefox 66.0.1 arribarà aviat als repositoris oficials
Els errors que corregeix aquesta versió són els CVE-2019-9810 i CVE-2019-9813, tots dos trobats per Richard Zhu, Amat Llit i Niklas Baumstark a través de la iniciativa Zero Day de Trend Micro. El primer dels dos descriu un problema de sobrecàrrega de la memòria intermèdia i una fallada de comprovació de límits absent a Firefox 66 a causa de informació d'àlies incorrecta en el compilador JIT IonMonkey per al mètode Array.prototype.slice.
D'altra banda, el CVE-2019-9813 es tracta d' un problema de «confusió d'escriptura» en el mateix IonMonkey JIT, Però aquesta vegada en el codi. Aquesta fallada podria permetre que un usuari malintencionat llegís i escrivís memòria arbitrària, El que era (i encara és possible a la V66) possible a causa d'una gestió incorrecta de of__proto__mutations.
Mozilla recomana a tots els usuaris que actualitzem en conte ens sigui possible. Com hem esmentat anteriorment, els usuaris de Windows i macOS podran fer-ho des de l'avís que el Firefox mostra quan hi ha una actualització disponible gràcies al fet que en aquests sistemes feia temps que existien les actualitzacions Push. Els usuaris de Linux podem descarregar la nova versió i realitzar la instal·lació manual, però no és el més recomanat. Els que estiguin usant el paquet snap podran actualitzar ja, mentre que els que fem servir la versió APT haurem d'esperar un parell de dies. Esperem doncs.
