Tento týden, 19., vydala Mozilla hlavní aktualizaci svého prohlížeče. O několik dní později se nová verze dostala do oficiálních úložišť a dnes, o dva dny později, společnost má vydal Firefox 66.0.1, verzi, která opravuje dvě kritické bezpečnostní chyby které byly nalezeny v hackerské soutěži Pwn2Own, kde se věnují hledání a využívání těchto typů nedostatků, ale pro naše dobro.
Firefox 66.0.1 je K dispozici pro Windows, Mac a Linux, ale zatím to není, ani jako balíček snap, ani v oficiálních úložištích. Vzhledem k tomu, jak dlouho trvalo, než v66 dorazil, si můžeme myslet, že v66.0.1 bude k dispozici příští pondělí. To je PROČ snap balíčky nebo jiné podobné balíčky, jako je Flatpak, jsou tak důležité: i když se to zatím v Snappy Store neobjevuje, snap balíček dostává aktualizace přes Push, to znamená, že stejný program je přijímá, jakmile je otevřen.
Firefox 66.0.1 již brzy přichází do oficiálních úložišť
L chyby, které tato verze opravuje Jedná se o CVE-2019-9810 a CVE-2019-9813, které našly Richard Zhu, Amat Cama a Niklas Baumstark prostřednictvím iniciativy Zero Day Initiative společnosti Trend Micro. První ze dvou popisuje a problém přetížení vyrovnávací paměti a selhání kontroly limitu ve Firefoxu 66 chybí kvůli nesprávným informacím o aliasu v kompilátoru IonMonkey JIT pro metodu Array.prototype.slice.
Na druhou stranu, CVE-2019-9813 je o problém „zmatení psaní“ v samotném JIT IonMonkey, ale tentokrát v kódu. Tato chyba by mohla uživateli se zlými úmysly umožnit čtení a zápis libovolné paměti, což bylo (a je stále možné ve v66) možné kvůli nesprávné manipulaci s__proto__mutations.
Mozilla doporučuje všem uživatelům, aby se co nejvíce aktualizovali. Jak jsme již zmínili dříve, uživatelé Windows a macOS to budou moci udělat z varování, které Firefox zobrazuje, když je k dispozici aktualizace, díky tomu, že aktualizace Push v těchto systémech již dlouho existovaly. Uživatelé systému Linux mohou stáhněte si novou verzi a proveďte ruční instalaci, ale není to nejvíce doporučeno. Ti, kteří používají balíček snap, se budou moci aktualizovat hned, zatímco ti z nás, kteří používají verzi APT, si budou muset počkat několik dní. Počkejme tedy.