สัปดาห์นี้ในวันที่ 19 Mozilla ได้เปิดตัวการอัปเดตครั้งใหญ่สำหรับเบราว์เซอร์ สองสามวันต่อมาเวอร์ชันใหม่ก็มาถึงที่เก็บอย่างเป็นทางการและในวันนี้อีกสองวันต่อมา บริษัท ก็มี เปิดตัว Firefox 66.0.1 ซึ่งเป็นเวอร์ชันที่มาเพื่อแก้ไขข้อบกพร่องด้านความปลอดภัยที่สำคัญสองประการ ที่พบในการแข่งขันแฮ็ก Pwn2Own ซึ่งพวกเขาทุ่มเทในการค้นหาและใช้ประโยชน์จากข้อบกพร่องประเภทนี้ แต่เพื่อประโยชน์ของเรา
Firefox 66.0.1 คือ ใช้ได้สำหรับ Windows, Mac และ Linuxแต่ยังไม่พร้อมใช้งานในรูปแบบแพ็คเกจ snap หรือในที่เก็บอย่างเป็นทางการ เมื่อพิจารณาถึงระยะเวลาที่ v66 จะมาถึงเราคิดได้ว่า v66.0.1 จะพร้อมใช้งานในวันจันทร์หน้า นี่คือเหตุผลว่าทำไมแพ็กเกจสแน็ปหรือแพ็คเกจอื่น ๆ ที่คล้ายคลึงกันเช่น Flatpak จึงมีความสำคัญมากแม้ว่าจะยังไม่ปรากฏใน Snappy Store แต่แพ็คเกจสแน็ปจะได้รับการอัปเดตผ่าน Push นั่นคือโปรแกรมเดียวกันจะได้รับทันทีที่เปิดขึ้น
Firefox 66.0.1 กำลังจะมาถึงที่เก็บอย่างเป็นทางการในเร็ว ๆ นี้
ลอส จุดบกพร่องที่เวอร์ชันนี้แก้ไข ได้แก่ CVE-2019-9810 และ CVE-2019-9813 ซึ่งค้นพบโดย Richard Zhu, Amat Cama และ Niklas Baumstark ผ่านการริเริ่ม Zero Day ของ Trend Micro ครั้งแรกของทั้งสองอธิบายถึงไฟล์ ปัญหาบัฟเฟอร์เกินและการตรวจสอบขีด จำกัด ล้มเหลว ไม่มีใน Firefox 66 เนื่องจากข้อมูลนามแฝงที่ไม่ถูกต้องในคอมไพเลอร์ IonMonkey JIT สำหรับเมธอด Array.prototype.slice
ในทางกลับกัน CVE-2019-9813 เป็นเรื่องเกี่ยวกับ ปัญหา "ความสับสนในการพิมพ์" ใน IonMonkey JIT เองแต่คราวนี้เป็นรหัส. ข้อบกพร่องนี้อาจทำให้ผู้ใช้ที่ประสงค์ร้ายอ่านและเขียนหน่วยความจำโดยพลการซึ่งเป็นไปได้ (และยังคงเป็นไปได้ใน v66) เนื่องจากการจัดการ __proto__mutations อย่างไม่ถูกต้อง
Mozilla สนับสนุนให้ผู้ใช้ทุกคนอัปเดตให้มากที่สุด. ดังที่เราได้กล่าวไปก่อนหน้านี้ผู้ใช้ Windows และ macOS จะสามารถทำได้จากคำเตือนที่ Firefox แสดงเมื่อมีการอัปเดตเนื่องจากการอัปเดตแบบพุชมีอยู่มานานในระบบเหล่านั้น ผู้ใช้ Linux สามารถ ดาวน์โหลดเวอร์ชันใหม่ และดำเนินการติดตั้งด้วยตนเอง แต่ไม่แนะนำมากที่สุด ผู้ที่ใช้แพ็คเกจ snap จะสามารถอัปเดตได้ในขณะนี้ส่วนพวกเราที่ใช้เวอร์ชัน APT จะต้องรอสองสามวัน รอกันได้เลย
