Denne uken, den 19., ga Mozilla ut en større oppdatering for nettleseren sin. Et par dager senere nådde den nye versjonen de offisielle arkivene, og i dag, to dager senere, har selskapet det utgitt Firefox 66.0.1, en versjon som løser to kritiske sikkerhetsfeil som ble funnet i Pwn2Own hacking-konkurransen, hvor de er dedikert til å finne og utnytte denne typen feil, men for vårt beste.
Firefox 66.0.1 er tilgjengelig for Windows, Mac og Linux, men det er det ennå ikke, verken som en snap-pakke eller i de offisielle arkivene. Med tanke på hvor lang tid det tok før v66 kom, kan vi tro at v66.0.1 vil være tilgjengelig neste mandag. Dette er HVORFOR snap-pakker eller andre lignende pakker som Flatpak er så viktige: selv om det ikke vises i Snappy Store ennå, mottar snap-pakken oppdateringer via Push, det vil si det samme programmet mottar dem så snart den åpnes.
Firefox 66.0.1 kommer snart til de offisielle arkivene
den feil som denne versjonen løser De er CVE-2019-9810 og CVE-2019-9813, begge funnet av Richard Zhu, Amat Cama og Niklas Baumstark gjennom Trend Micros Zero Day Initiative. Den første av de to beskriver a bufferoverbelastningsproblem og en feil ved grensekontroll fraværende i Firefox 66 på grunn av feil aliasinformasjon i IonMonkey JIT-kompilatoren for Array.prototype.slice-metoden.
På den annen side handler CVE-2019-9813 om et "typing confusion" problem i selve IonMonkey JIT, men denne gangen i kode. Denne feilen kan tillate en ondsinnet bruker å lese og skrive vilkårlig minne, som var mulig (og fremdeles er mulig i v66) på grunn av feil håndtering av__proto__mutasjoner.
Mozilla oppfordrer alle brukere til å oppdatere så mye som mulig. Som vi har nevnt tidligere, vil Windows- og macOS-brukere kunne gjøre det fra advarselen som Firefox viser når en oppdatering er tilgjengelig takket være at Push-oppdateringer lenge har eksistert på disse systemene. Linux-brukere kan last ned den nye versjonen og utføre manuell installasjon, men det er ikke den mest anbefalte. De som bruker snap-pakken, vil kunne oppdatere nå, mens de av oss som bruker APT-versjonen, må vente et par dager. La oss vente da.
