Firefox 66 ha arribat fa tot just 4 dies i ja hi ha disponible una actualització. Firefox 66.0.1 arriba per corregir dos errors trobats a Pwn2Own, Un tipus de concurs en què els participants han de trobar vulnerabilitats i explotar-les. El millor que existeixin aquestes activitats és que, primer, els participants puguin demostrar les seves habilitats, el que els vaig poder obrir moltes portes i, segon, que les companyies descobreixin errors que no havien tingut en compte o no sabien que existien en el seu programari.
Els dos errors trobats han estat catalogats com a «greus» per la pròpia Mozilla i recomana a tots els usuaris que actualitzem quant ens sigui possible. En els dipòsits APT ja està disponible la V66 però, tenint en compte el que va trigar a arribar, podem pensar que podrem descarregar la nova v66.0.1 en algun moment de dilluns que ve. Com a curiositat, el paquet snap més actualitzat de el navegador de Mozilla és Firefox 65.0.2-1, el que sembla que vol dir que els desenvolupadors no tenen pressa a pujar un paquet snap actualitzat perquè aquests poden actualitzar-se via push des de la pròpia aplicació.
Firefox 66.0.1 corregeix dos errors greus, segons Mozilla
Firefox 66.0.1 corregeix les fallades CVE-2019-9810 i CVE-2019-9813 que van ser trobats per Richard Zhu, Amat Llit i Niklas Baumstark a través de la iniciativa Zero Day de Trend Micro. El CVE-2019-9810 es tracta d'un problema de sobrecàrrega de la memòria intermèdia i una fallada de comprovació de límits absent a Firefox 66 a causa de informació d'àlies incorrecta en el compilador JIT IonMonkey per al mètode Array.prototype.slice. D'altra banda, el CVE-2019-9813 descriu un problema de confusió d'escriptura que també està present en IonMonkey JIT, més concretament en el seu codi. Aquesta vulnerabilitat permetia a un atacant escriure a mà memòria arbitrària a causa d'una mala gestió de of__proto_mutations.
Els usuaris de Windows i macOS poden actualitzar directament des de Firefox, des Ajuda o des de l'avís que hauria d'aparèixer en pantalla res més obrir-lo. Els usuaris de Linux podem fer el mateix si tenim instal·lada la versió snap del Firefox. Si no es dóna el cas, i jo no ho faig perquè noto Firefox diferent, podem descarregar els binaris i copiar-los a la carpeta Firefox per utilitzar l'última versió. Personalment no ho recomanaria, per la qual cosa el millor serà esperar, pot ser que 48 hores, fins que el Firefox 66.0.1 estigui disponible en els repositoris oficials.
Et preocupen aquests dos errors que soluciona Firefox 66.0.1?
