Firefox 66 is pas 4 dagen geleden gearriveerd en er is nu een update beschikbaar. Firefox 66.0.1 arriveert om twee bugs in Pwn2Own op te lossen, een soort wedstrijd waarbij deelnemers kwetsbaarheden moeten opsporen en exploiteren. Het mooie van deze activiteiten is dat de deelnemers ten eerste hun vaardigheden kunnen demonstreren, wat veel deuren voor hen kan openen, en ten tweede dat bedrijven bugs ontdekken waar ze geen rekening mee hadden gehouden of waarvan ze niet wisten dat ze in hun software bestonden.
De twee gevonden fouten zijn door Mozilla zelf geclassificeerd als "serieus" en raadt alle gebruikers aan zo snel mogelijk een update uit te voeren. In de APT-repositories is v66 al beschikbaar, maar rekening houdend met hoe lang het duurde om aan te komen, kunnen we denken dat we de nieuwe v66.0.1 ergens aanstaande maandag kunnen downloaden. Als curiositeit is de browser meest up-to-date snap-pakket Mozilla is Firefox 65.0.2-1, wat lijkt te betekenen dat ontwikkelaars geen haast hebben om een bijgewerkt snap-pakket te uploaden, omdat ze kunnen worden bijgewerkt via push vanuit de applicatie zelf.
Firefox 66.0.1 lost volgens Mozilla twee ernstige bugs op
Firefox 66.0.1 reparaties De watervallen CVE-2019-9810 en CVE-2019-9813 gevonden door Richard Zhu, Amat Cama en Niklas Baumstark via het Zero Day Initiative van Trend Micro. De CVE-2019-9810 is een bufferoverbelastingsprobleem en een limietcontrolefout afwezig in Firefox 66 vanwege onjuiste aliasinformatie in de IonMonkey JIT-compiler voor de Array.prototype.slice-methode. Aan de andere kant beschrijft de CVE-2019-9813 een schrijfverwarringprobleem dat ook aanwezig is in IonMonkey JIT, meer specifiek in de code. Door deze kwetsbaarheid kon een aanvaller willekeurig geheugen met de hand schrijven vanwege een verkeerde behandeling van__proto_mutations.
Windows- en macOS-gebruikers kunnen rechtstreeks updaten vanuit Firefox, vanuit Help of vanuit de waarschuwing die op het scherm zou moeten verschijnen zodra ze het openen. Linux-gebruikers kunnen hetzelfde doen als we de snap-versie van Firefox hebben geïnstalleerd. Als dit niet het geval is, en ik doe het niet omdat ik andere Firefox opmerk, kunnen we de binaire bestanden downloaden en naar de Firefox-map kopiëren om de nieuwste versie te gebruiken. Ik zou het persoonlijk niet aanbevelen, dus het beste is om te wachten, misschien 48 uur, totdat Firefox 66.0.1 beschikbaar is in de repositories officieren.
Maakt u zich zorgen over deze twee bugs die Firefox 66.0.1 verhelpt?