Tällä viikolla 19. päivänä Mozilla julkaisi suuren selaimen päivityksen. Pari päivää myöhemmin uusi versio saapui virallisiin arkistoihin ja tänään, kaksi päivää myöhemmin, yhtiöllä on julkaisi Firefox 66.0.1 -version, joka korjaa kaksi kriittistä tietoturva-aukkoa jotka löytyivät Pwn2Own-hakkerointikilpailusta, jossa he ovat omistautuneet etsimään ja hyödyntämään tämän tyyppisiä puutteita, mutta meidän hyväksi.
Firefox 66.0.1 on saatavana Windowsille, Macille ja Linuxille, mutta sitä ei ole vielä saatavilla pikapakettina tai virallisissa arkistoissa. Ottaen huomioon kuinka kauan v66: n saapuminen kesti, voimme ajatella, että v66.0.1 on saatavilla ensi maanantaina. Siksi snap-paketit tai muut vastaavat paketit, kuten Flatpak, ovat niin tärkeitä: vaikka Snappy Store ei vielä ilmesty, snap-paketti saa päivitykset Pushin kautta, eli sama ohjelma saa ne heti, kun se avataan.
Firefox 66.0.1 on pian virallisilla arkistoilla
Los tämän version korjaamat virheet Ne ovat CVE-2019-9810 ja CVE-2019-9813, molemmat löysivät Richard Zhu, Amat Cama ja Niklas Baumstark Trend Micron Zero Day Initiativen kautta. Ensimmäinen näistä kahdesta kuvaa a puskurin ylikuormitusongelma ja rajan tarkistuksen epäonnistuminen poissa Firefox 66: sta IonMonkey JIT-kääntäjän virheellisten aliastietojen vuoksi Array.prototype.slice-menetelmälle.
Toisaalta CVE-2019-9813 on kyse "sekaannuksen kirjoittamisen" ongelma itse IonMonkey JIT: ssä, mutta tällä kertaa koodina. Tämän virheen avulla haitallinen käyttäjä voi lukea ja kirjoittaa mielivaltaista muistia, mikä oli (ja on edelleen mahdollista versiossa 66) mahdollinen _proto__mutaatioiden väärinkäytön vuoksi.
Mozilla kannustaa kaikkia käyttäjiä päivittämään mahdollisimman paljon. Kuten olemme aiemmin maininneet, Windows- ja macOS-käyttäjät voivat tehdä sen varoituksella, jonka Firefox näyttää, kun päivitys on saatavilla, koska Push-päivitykset ovat olleet jo kauan kyseisissä järjestelmissä. Linux-käyttäjät voivat Lataa uusi versio ja suorita manuaalinen asennus, mutta se ei ole suositeltavin. Snap-pakettia käyttävät voivat päivittää nyt, kun taas meistä, jotka käyttävät APT-versiota, on odotettava pari päivää. Odotetaan sitten.
