Firefox 66 est arrivé il y a à peine 4 jours et une mise à jour est désormais disponible. Firefox 66.0.1 arrive pour corriger deux bogues trouvés dans Pwn2Own, un type de concours dans lequel les participants doivent trouver des vulnérabilités et les exploiter. L'avantage de ces activités est que, d'une part, les participants peuvent démontrer leurs compétences, ce qui peut leur ouvrir de nombreuses portes et, d'autre part, que les entreprises découvrent des bugs dont elles n'avaient pas pris en compte ou ignoraient l'existence dans leur logiciel.
Les deux défauts trouvés ont été classés comme «graves» par Mozilla lui-même et recommande à tous les utilisateurs de mettre à jour dès que possible. Dans les référentiels APT, la v66 est déjà disponible mais, compte tenu du temps qu'il a fallu pour arriver, nous pouvons penser que nous pourrons télécharger la nouvelle v66.0.1 lundi prochain. Par curiosité, le package d'instantanés de navigateur le plus à jour La version de Mozilla est Firefox 65.0.2-1, ce qui semble signifier que les développeurs ne sont pas pressés de télécharger un package snap mis à jour car ils peuvent être mis à jour via push depuis l'application elle-même.
Firefox 66.0.1 corrige deux bogues sérieux, selon Mozilla
Correctifs de Firefox 66.0.1 Les cascades CVE-2019-9810 et CVE-2019-9813 trouvés par Richard Zhu, Amat Cama et Niklas Baumstark via l'initiative Zero Day de Trend Micro. Le CVE-2019-9810 est un problème de surcharge de la mémoire tampon et échec de la vérification des limites absent dans Firefox 66 en raison d'informations d'alias incorrectes dans le compilateur IonMonkey JIT pour la méthode Array.prototype.slice. D'autre part, le CVE-2019-9813 décrit un problème de confusion d'écriture qui est également présent dans IonMonkey JIT, plus spécifiquement dans son code. Cette vulnérabilité permettait à un attaquant d'écrire manuellement de la mémoire arbitraire en raison d'une mauvaise gestion de__proto_mutations.
Les utilisateurs de Windows et de macOS peuvent mettre à jour directement à partir de Firefox, de l'aide ou de l'avertissement qui devrait apparaître à l'écran dès qu'ils l'ouvrent. Les utilisateurs de Linux peuvent faire de même si nous avons la version snap de Firefox installée. Si ce n'est pas le cas, et je ne le fais pas car je remarque des Firefox différents, nous pouvons télécharger les binaires et les copier dans le dossier Firefox pour utiliser la dernière version. Personnellement, je ne le recommanderais pas, alors le mieux est d'attendre, peut-être 48 heures, jusqu'à ce que Firefox 66.0.1 soit disponible dans les référentiels officiers.
Êtes-vous préoccupé par ces deux bogues corrigés par Firefox 66.0.1?
