Šonedēļ, 19. datumā, Mozilla izlaida lielu pārlūkprogrammas atjauninājumu. Pāris dienas vēlāk jaunā versija nonāca oficiālajos krātuvēs, un šodien, divas dienas vēlāk, uzņēmums to ir izdarījis izlaida Firefox 66.0.1, versiju, kas tiek izlabota divos kritiskos drošības trūkumos kas tika atrasti Pwn2Own uzlaušanas konkursā, kur tie ir veltīti šāda veida trūkumu atrašanai un izmantošanai, bet mūsu labā.
Firefox 66.0.1 ir Pieejams Windows, Mac un Linux, bet tas vēl nav nedz kā snap pack, nedz oficiālajos krātuvēs. Ņemot vērā, cik ilgs laiks bija vajadzīgs v66 ierašanās brīdim, mēs varam domāt, ka v66.0.1 būs pieejams nākamajā pirmdienā. Tieši tāpēc snap paketes vai citas līdzīgas paketes, piemēram, Flatpak, ir tik svarīgas: lai gan tas vēl neparādās Snappy Store, snap pakete saņem atjauninājumus, izmantojot Push, tas ir, tā pati programma tos saņem, tiklīdz tā tiek atvērta.
Firefox 66.0.1 drīz nonāks oficiālajos krātuvēs
L kļūdas, kuras šī versija novērš Tie ir CVE-2019-9810 un CVE-2019-9813, kurus abus atraduši Ričards Zhu, Amats Kama un Niklass Baumstarks, izmantojot Trend Micro iniciatīvu Zero Day. Pirmais no abiem apraksta a bufera pārslodzes problēma un limita pārbaudes kļūme nav Firefox 66 nepareizas aizstājvārdu informācijas dēļ IonMonkey JIT kompilatorā metodei Array.prototype.slice.
No otras puses, CVE-2019-9813 ir par "neskaidrības rakstīšanas" problēma pašā IonMonkey JIT, bet šoreiz kodā. Šī kļūda varētu ļaut ļaunprātīgam lietotājam lasīt un rakstīt patvaļīgu atmiņu, kas bija (un joprojām ir iespējams v66. versijā), iespējams, nepareizi rīkojoties ar__proto__mutācijām.
Mozilla mudina visus lietotājus pēc iespējas vairāk atjaunināt. Kā jau iepriekš minējām, Windows un macOS lietotāji to varēs izdarīt, brīdinot, ka Firefox parāda, kad ir pieejams atjauninājums, pateicoties tam, ka Push atjauninājumi jau sen pastāv šajās sistēmās. Linux lietotāji var lejupielādēt jauno versiju un veiciet manuālo uzstādīšanu, taču tas nav visvairāk ieteicams. Tie, kas izmanto snap pakotni, varēs atjaunināt tūlīt, savukārt tiem, kas izmanto APT versiju, būs jāgaida pāris dienas. Tad gaidīsim.