Deze week, op de 19e, heeft Mozilla een grote update voor zijn browser uitgebracht. Een paar dagen later bereikte de nieuwe versie de officiële repositories en vandaag, twee dagen later, heeft het bedrijf heeft Firefox 66.0.1 uitgebracht, een versie die twee kritieke beveiligingsfouten gaat corrigeren die werden gevonden in de Pwn2Own-hackwedstrijd, waar ze zijn toegewijd aan het vinden en exploiteren van dit soort fouten, maar voor ons bestwil.
Firefox 66.0.1 is beschikbaar voor Windows, Mac en Linux, maar het is nog niet, noch als een snap-pakket, noch in de officiële repositories. Gezien hoe lang het duurde voordat v66 arriveerde, kunnen we denken dat v66.0.1 aanstaande maandag beschikbaar zal zijn. Dit is WAAROM snap-pakketten of andere soortgelijke pakketten zoals Flatpak zo belangrijk zijn: hoewel het nog niet in de Snappy Store verschijnt, ontvangt het snap-pakket updates via Push, dat wil zeggen dat hetzelfde programma ze ontvangt zodra het wordt geopend.
Firefox 66.0.1 komt binnenkort naar de officiële repositories
De bugs die deze versie verhelpt Het zijn CVE-2019-9810 en CVE-2019-9813, beide gevonden door Richard Zhu, Amat Cama en Niklas Baumstark via het Zero Day Initiative van Trend Micro. De eerste van de twee beschrijft een bufferoverbelastingsprobleem en een limietcontrolefout afwezig in Firefox 66 vanwege onjuiste aliasinformatie in de IonMonkey JIT-compiler voor de Array.prototype.slice-methode.
Aan de andere kant gaat de CVE-2019-9813 over een "typeverwarring" -probleem in de IonMonkey JIT zelf, maar deze keer in code Door deze bug kan een kwaadwillende gebruiker willekeurig geheugen lezen en schrijven, wat mogelijk was (en is nog steeds mogelijk in v66) door verkeerd gebruik van__proto__mutaties.
Mozilla moedigt alle gebruikers aan om zoveel mogelijk bij te werken Zoals we eerder hebben vermeld, kunnen Windows- en macOS-gebruikers dit doen vanaf de waarschuwing die Firefox toont wanneer er een update beschikbaar is, dankzij het feit dat push-updates al lang op die systemen bestaan. Linux-gebruikers kunnen download de nieuwe versie en voer handmatige installatie uit, maar dit wordt niet het meest aanbevolen. Degenen die het snap-pakket gebruiken, kunnen nu updaten, terwijl degenen onder ons die de APT-versie gebruiken een paar dagen moeten wachten. Laten we dan wachten.
