本週,19日,Mozilla發布了其瀏覽器的重大更新。 幾天后,新版本到達了官方存儲庫,今天,兩天后,該公司 發布了Firefox 66.0.1,該版本可糾正兩個關鍵的安全缺陷 在Pwn2Own黑客大賽中發現了這些漏洞,他們致力於發現和利用這些類型的漏洞,但這樣做對我們有好處。
Firefox 66.0.1是 適用於Windows,Mac和Linux,但尚未實現,既不是作為即用軟件包也不在官方存儲庫中。 考慮到v66到達需要多長時間,我們可以認為v66.0.1將在下週一提供。 這就是為什麼快照程序包或Flatpak之類的其他類似軟件包如此重要的原因:儘管快照程序包尚未出現在Snappy Store中,但快照程序包通過Push接收更新,也就是說,同一程序在打開時就立即收到更新。
Firefox 66.0.1即將在官方存儲庫中發布
很多 此版本修復的錯誤 它們是CVE-2019-9810和CVE-2019-9813,均由趨勢科技的``零日''倡議通過Richard Zhu,Amat Cama和Niklas Baumstark找到。 兩者中的第一個描述了 緩衝區過載問題和極限檢查失敗 由於Array.prototype.slice方法的IonMonkey JIT編譯器中的別名信息不正確,因此在Firefox 66中不存在。
另一方面,CVE-2019-9813即將發布 IonMonkey JIT本身存在“類型混淆”問題,但這一次在代碼中。 此錯誤可能允許惡意用戶讀取和寫入任意內存,由於對__proto__mutations的處理不當,這是可能的(並且在v66中仍然可能)。
Mozilla鼓勵所有用戶盡可能多地更新。 如前所述,Windows和macOS用戶將能夠從Firefox顯示何時有可用更新的警告中做到這一點,這是由於在這些系統上存在Push更新的事實。 Linux用戶可以 下載新版本 並執行手動安裝,但不建議這樣做。 使用snap軟件包的用戶現在可以進行更新,而使用APT版本的用戶則需要等待幾天。 那我們等一下