Cette semaine, le 19, Mozilla a publié une mise à jour majeure pour son navigateur. Quelques jours plus tard, la nouvelle version a atteint les référentiels officiels et aujourd'hui, deux jours plus tard, la société a a publié Firefox 66.0.1, une version qui vient corriger deux failles de sécurité critiques qui ont été trouvés dans le concours de piratage Pwn2Own, où ils se consacrent à trouver et à exploiter ces types de failles, mais pour notre bien.
Firefox 66.0.1 est disponible pour Windows, Mac et Linux, mais il n'est pas encore disponible sous forme de package instantané ou dans les référentiels officiels. Compte tenu du temps qu'il a fallu à la v66 pour arriver, nous pouvons penser que la v66.0.1 sera disponible lundi prochain. C'est pourquoi les packages snap ou d'autres packages similaires tels que Flatpak sont si importants: bien qu'il n'apparaisse pas encore dans le Snappy Store, le package snap reçoit des mises à jour via Push, c'est-à-dire que le même programme les reçoit dès qu'il est ouvert.
Firefox 66.0.1 arrive bientôt dans les référentiels officiels
Les bogues que cette version corrige Il s'agit de CVE-2019-9810 et CVE-2019-9813, tous deux trouvés par Richard Zhu, Amat Cama et Niklas Baumstark dans le cadre de l'initiative Zero Day de Trend Micro. Le premier des deux décrit un problème de surcharge de la mémoire tampon et échec de la vérification des limites absent dans Firefox 66 en raison d'informations d'alias incorrectes dans le compilateur IonMonkey JIT pour la méthode Array.prototype.slice.
D'autre part, le CVE-2019-9813 concerne un problème de "confusion de frappe" dans le JIT IonMonkey lui-même, mais cette fois dans le code. Ce bogue pourrait permettre à un utilisateur malveillant de lire et d'écrire de la mémoire arbitraire, ce qui était (et est toujours possible dans la v66) possible en raison d'une mauvaise gestion des__proto__mutations.
Mozilla encourage tous les utilisateurs à mettre à jour autant que possible. Comme nous l'avons mentionné précédemment, les utilisateurs de Windows et de macOS pourront le faire à partir de l'avertissement que Firefox affiche lorsqu'une mise à jour est disponible grâce au fait que les mises à jour Push existent depuis longtemps sur ces systèmes. Les utilisateurs de Linux peuvent télécharger la nouvelle version et effectuez l'installation manuelle, mais ce n'est pas la plus recommandée. Ceux qui utilisent le package snap peuvent mettre à jour maintenant, tandis que ceux d'entre nous qui utilisent la version APT devront attendre quelques jours. Attendons alors.
