Esta semana, dia 19, a Mozilla lançou uma grande atualização para seu navegador. Alguns dias depois, a nova versão chegou aos repositórios oficiais e hoje, dois dias depois, a empresa lançou o Firefox 66.0.1, uma versão que vem corrigir duas falhas críticas de segurança que foram encontrados no concurso de hacking Pwn2Own, onde se dedicam a encontrar e explorar esses tipos de falhas, mas para o nosso bem.
Firefox 66.0.1 é disponível para Windows, Mac e Linux, mas ainda não é, nem como um pacote instantâneo nem nos repositórios oficiais. Considerando quanto tempo levou para a v66 chegar, podemos pensar que a v66.0.1 estará disponível na próxima segunda-feira. É por isso que os pacotes snap ou outros pacotes semelhantes como o Flatpak são tão importantes: embora ainda não apareça no Snappy Store, o pacote snap recebe atualizações via Push, ou seja, o mesmo programa as recebe assim que é aberto.
O Firefox 66.0.1 chegará em breve nos repositórios oficiais
Os bugs que esta versão corrige Eles são CVE-2019-9810 e CVE-2019-9813, ambos encontrados por Richard Zhu, Amat Cama e Niklas Baumstark por meio do Zero Day Initiative da Trend Micro. O primeiro dos dois descreve um problema de sobrecarga de buffer e falha na verificação de limite ausente no Firefox 66 devido a informações de alias incorretas no compilador IonMonkey JIT para o método Array.prototype.slice.
Por outro lado, o CVE-2019-9813 é sobre um problema de "confusão de digitação" no próprio IonMonkey JIT, mas desta vez em código. Este bug pode permitir que um usuário malicioso leia e grave memória arbitrária, que era (e ainda é possível em v66) possível devido ao manuseio incorreto de__proto__mutações.
A Mozilla encoraja todos os usuários a atualizar o máximo possível. Como mencionamos anteriormente, os usuários do Windows e do macOS poderão fazer isso a partir do aviso que o Firefox mostra quando uma atualização está disponível, graças ao fato de que as atualizações push existem há muito tempo nesses sistemas. Os usuários Linux podem baixe a nova versão e realizar a instalação manual, mas não é a mais recomendada. Aqueles que estão usando o pacote snap poderão atualizar agora, enquanto aqueles de nós que usam a versão APT teremos que esperar alguns dias. Vamos esperar então.