Tento týždeň, 19., vydala Mozilla veľkú aktualizáciu svojho prehliadača. O pár dní neskôr sa nová verzia dostala do oficiálnych úložísk a dnes, o dva dni neskôr, spoločnosť mala vydal Firefox 66.0.1, verziu, ktorá opravuje dve kritické bezpečnostné chyby ktoré sa našli v hackerskej súťaži Pwn2Own, kde sa venujú hľadaniu a využívaniu týchto typov chýb, ale pre naše dobro.
Firefox 66.0.1 je k dispozícii pre Windows, Mac a Linux, ale zatiaľ nie je k dispozícii ako snap balík alebo v oficiálnych úložiskách. Ak vezmeme do úvahy, ako dlho trvalo vydanie v66, môžeme si myslieť, že v66.0.1 bude k dispozícii budúci pondelok. Toto je PREČO snap balíčky alebo iné podobné balíčky ako Flatpak sú také dôležité: aj keď sa Snappy Store ešte neobjavuje, snap balík dostane aktualizácie cez Push, to znamená, že ten istý program ich dostane hneď po otvorení.
Firefox 66.0.1 bude čoskoro k dispozícii v oficiálnych úložiskách
undefined chyby, ktoré táto verzia opravuje Ide o CVE-2019-9810 a CVE-2019-9813, ktoré našli Richard Zhu, Amat Cama a Niklas Baumstark prostredníctvom iniciatívy Zero Day Initiative spoločnosti Trend Micro. Prvý z týchto dvoch popisuje a problém s preťažením vyrovnávacej pamäte a zlyhanie kontroly limitu vo Firefoxe 66 absentuje z dôvodu nesprávnych informácií o aliasoch v kompilátore IonMonkey JIT pre metódu Array.prototype.slice.
Na druhej strane, CVE-2019-9813 je o problém „zmätku pri písaní“ v samotnom JIT IonMonkey, ale tentokrát v kóde. Táto chyba by mohla používateľovi so zlým úmyslom umožniť čítanie a zápis ľubovoľnej pamäte, čo bolo (a stále je možné vo v66) možné z dôvodu nesprávneho zaobchádzania s__proto__mutáciami.
Mozilla nabáda všetkých používateľov, aby sa čo najviac aktualizovali. Ako sme už spomenuli predtým, používatelia Windows a macOS to budú môcť urobiť z varovania, ktoré prehliadač Firefox zobrazuje, keď je k dispozícii aktualizácia, vďaka tomu, že v týchto systémoch aktualizácie Push už dávno existovali. Používatelia systému Linux môžu stiahnite si novú verziu a vykonať manuálnu inštaláciu, ale nie je to najviac odporúčané. Tí, ktorí používajú balíček snap, budú môcť aktualizovať hneď, zatiaľ čo tí z nás, ktorí používajú verziu APT, si budú musieť počkať pár dní. Počkajme teda.