Αυτή την εβδομάδα, στις 19, η Mozilla κυκλοφόρησε μια σημαντική ενημέρωση για το πρόγραμμα περιήγησής της. Λίγες μέρες αργότερα, η νέα έκδοση κυκλοφόρησε στα επίσημα αποθετήρια και σήμερα, δύο μέρες αργότερα, η εταιρεία έχει κυκλοφόρησε τον Firefox 66.0.1, μια έκδοση που έρχεται να διορθώσει δύο κρίσιμα ελαττώματα ασφαλείας που βρέθηκαν στον διαγωνισμό hacking Pwn2Own, όπου είναι αφιερωμένοι στην εύρεση και εκμετάλλευση αυτού του τύπου bug, αλλά για το καλό μας.
Ο Firefox 66.0.1 είναι διαθέσιμη για Windows, Mac και Linux, αλλά δεν είναι ακόμη διαθέσιμο ως snap πακέτο ή στα επίσημα αποθετήρια. Λαμβάνοντας υπόψη πόσο καιρό χρειάστηκε για να λάβουμε το v66, μπορούμε να σκεφτούμε ότι το v66.0.1 θα είναι διαθέσιμο την επόμενη Δευτέρα. Αυτός είναι ο λόγος που τα πακέτα snap ή άλλα παρόμοια όπως το Flatpak είναι τόσο σημαντικά: αν και δεν εμφανίζεται ακόμα στο Snappy Store, το πακέτο snap λαμβάνει ενημερώσεις μέσω Push, δηλαδή το ίδιο το πρόγραμμα τις λαμβάνει μόλις ανοίξει.
Ο Firefox 66.0.1 έρχεται σύντομα στα επίσημα αποθετήρια
Ο σφάλματα που διορθώθηκαν από αυτήν την έκδοση είναι οι CVE-2019-9810 και CVE-2019-9813, που βρέθηκαν από τους Richard Zhu, Amat Cama και Niklas Baumstark μέσω της πρωτοβουλίας Zero Day της Trend Micro. Το πρώτο από τα δύο περιγράφει α πρόβλημα υπερφόρτωσης buffer και αποτυχία ελέγχου ορίου λείπει στο Firefox 66 λόγω εσφαλμένων πληροφοριών ψευδωνύμου στον μεταγλωττιστή JIT IonMonkey για τη μέθοδο Array.prototype.slice.
Από την άλλη πλευρά, το CVE-2019-9813 είναι περίπου ένα θέμα "σύγχυσης εγγραφής" στο ίδιο JIT IonMonkey, αλλά αυτή τη φορά στον κώδικα. Αυτό το ελάττωμα θα μπορούσε να επιτρέψει σε έναν κακόβουλο χρήστη να διαβάζει και να γράφει αυθαίρετη μνήμη, το οποίο ήταν (και εξακολουθεί να είναι στο v66) δυνατό λόγω εσφαλμένου χειρισμού των__proto__mutations.
Η Mozilla συνιστά σε όλους τους χρήστες να ενημερώνονται το συντομότερο δυνατό.. Όπως έχουμε αναφέρει προηγουμένως, οι χρήστες Windows και macOS θα μπορούν να το κάνουν από την ειδοποίηση που δείχνει ο Firefox όταν είναι διαθέσιμη μια ενημέρωση, χάρη στο γεγονός ότι οι ενημερώσεις Push υπήρχαν σε αυτά τα συστήματα για μεγάλο χρονικό διάστημα. Οι χρήστες Linux μπορούν κατεβάστε τη νέα έκδοση και πραγματοποιήστε χειροκίνητη εγκατάσταση, αλλά δεν συνιστάται. Όσοι χρησιμοποιούν το πακέτο snap θα μπορούν να ενημερώνονται τώρα, ενώ όσοι από εμάς χρησιμοποιούν την έκδοση APT θα πρέπει να περιμένουμε μερικές μέρες. Ας περιμένουμε τότε.
