Firefox 66 появился всего 4 дня назад, и теперь доступно обновление. Firefox 66.0.1 исправляет две ошибки, обнаруженные в Pwn2Own, вид конкурса, в котором участники должны найти уязвимости и использовать их. Эти мероприятия хороши тем, что, во-первых, участники могут продемонстрировать свои навыки, которые могут открыть для них множество дверей, а, во-вторых, компании обнаруживают ошибки, которые они не учли или не знали о существовании в их программном обеспечении.
Две найденные неисправности были классифицированы как "серьезные" самой Mozilla и рекомендует всем пользователям как можно скорее выполнить обновление. В репозиториях APT версия v66 уже доступна, но, учитывая, сколько времени потребовалось для ее доставки, мы можем думать, что сможем загрузить новую версию v66.0.1 где-то в следующий понедельник. Как любопытство, самый последний пакет оснастки браузера Версия Mozilla - Firefox 65.0.2-1, что, похоже, означает, что разработчики не торопятся загружать обновленный пакет snap, потому что они могут быть обновлены с помощью push из самого приложения.
По данным Mozilla, Firefox 66.0.1 исправляет две серьезные ошибки.
Исправления в Firefox 66.0.1 Водопад CVE-2019-9810 и CVE-2019-9813, обнаруженные Ричардом Чжу, Аматом Камой и Никласом Баумстарком в рамках инициативы Trend Micro Zero Day Initiative. CVE-2019-9810 - это проблема перегрузки буфера и сбой проверки лимита отсутствует в Firefox 66 из-за неправильной информации о псевдониме в JIT-компиляторе IonMonkey для метода Array.prototype.slice. С другой стороны, CVE-2019-9813 описывает проблему путаницы при записи, которая также присутствует в IonMonkey JIT, а точнее в ее коде. Эта уязвимость позволяла злоумышленнику вручную записывать произвольную память из-за неправильной обработки __proto_mutations.
Пользователи Windows и macOS могут обновляться прямо из Firefox, из справки или из предупреждения, которое должно появиться на экране, как только они его откроют. Пользователи Linux могут сделать то же самое, если у нас установлена Snap-версия Firefox. Если это не так, и я не делаю этого, потому что я заметил другой Firefox, мы можем загрузить двоичные файлы и скопировать их в папку Firefox, чтобы использовать последнюю версию. Лично я бы не рекомендовал это, так что лучше всего подождать, может быть, 48 часов, пока Firefox 66.0.1 не станет доступен в репозиториях. офицеры.
Беспокоитесь ли вы об этих двух ошибках, которые исправляет Firefox 66.0.1?