今週、19日、Mozillaはブラウザのメジャーアップデートをリリースしました。 数日後、新しいバージョンが公式リポジトリに到達し、XNUMX日後の今日、同社は Firefox 66.0.1をリリースしました。これは、XNUMXつの重大なセキュリティ上の欠陥を修正するバージョンです。 これらはPwn2Ownハッキングコンテストで発見されました。そこでは、これらのタイプの欠陥を見つけて悪用することに専念していますが、それは私たちの利益のためです。
Firefox66.0.1は Windows、Mac、Linuxで利用可能、ただし、スナップパッケージまたは公式リポジトリではまだ利用できません。 v66が到着するまでにかかった時間を考えると、v66.0.1が来週の月曜日に利用可能になると考えることができます。 これが、snapパッケージまたはFlatpakなどの他の同様のパッケージが非常に重要である理由です。Snappyストアにはまだ表示されていませんが、snapパッケージはプッシュを介して更新を受信します。つまり、同じプログラムが開かれるとすぐに更新を受信します。
Firefox66.0.1がまもなく公式リポジトリに登場します
たくさん このバージョンで修正されるバグ これらはCVE-2019-9810とCVE-2019-9813であり、どちらもトレンドマイクロのゼロデイイニシアチブを通じてRichard Zhu、Amat Cama、NiklasBaumstarkによって発見されました。 XNUMXつのうちの最初のものは バッファオーバーランの問題と制限チェックの失敗 Array.prototype.sliceメソッドのIonMonkeyJITコンパイラのエイリアス情報が正しくないため、Firefox66には存在しません。
一方、CVE-2019-9813は約 IonMonkeyJIT自体の「タイピングの混乱」の問題、しかし今回はコードで。 このバグにより、悪意のあるユーザーが任意のメモリを読み書きできる可能性があります、これは__proto__mutationsの誤った取り扱いのために可能でした(そしてv66でも可能です)。
Mozillaは、すべてのユーザーが可能な限り更新することを推奨しています。 前に述べたように、WindowsとmacOSのユーザーは、プッシュアップデートがこれらのシステムに長い間存在していたため、Firefoxがアップデートが利用可能になると表示するという警告からそうすることができます。 Linuxユーザーは 新しいバージョンをダウンロードする 手動インストールを実行しますが、これはお勧めできません。 スナップパッケージを使用している人は今すぐ更新できますが、APTバージョンを使用している人は数日待つ必要があります。 それでは待ちましょう。