Firefox 66僅在4天前到貨,現在有更新。 Firefox 66.0.1到來修復Pwn2Own中發現的兩個錯誤,這是一種競賽形式,參與者必須找到漏洞並加以利用。 這些活動的好處是,首先,參與者可以展示自己的技能,這可以為他們打開很多門;其次,公司可以發現自己沒有考慮或不知道其軟件中存在的錯誤。
發現兩個故障 被Mozilla本身歸類為“嚴重” 並建議所有用戶盡快進行更新。 在APT存儲庫中,已經可以使用v66,但考慮到到達所需的時間,我們可以認為我們可以在下週一某個時候下載新的v66.0.1。 出於好奇, 最新的瀏覽器快照包 Mozilla的版本為Firefox 65.0.2-1,這似乎意味著開發人員不急於上載更新的snap軟件包,因為可以通過從應用程序內部進行推送來對其進行更新。
Mozilla稱Firefox 66.0.1修復了兩個嚴重的錯誤
Firefox 66.0.1修復 瀑布 理查德·朱(Richard Zhu),艾瑪特·卡瑪(Amat Cama)和尼克拉斯·鮑姆斯塔克(Niklas Baumstark)通過趨勢科技的零日活動(Zero Day Initiative)發現了CVE-2019-9810和CVE-2019-9813。 CVE-2019-9810是 緩衝區過載問題和極限檢查失敗 由於Array.prototype.slice方法的IonMonkey JIT編譯器中的別名信息不正確,因此在Firefox 66中不存在。 另一方面,CVE-2019-9813描述了寫混亂問題,該問題也在IonMonkey JIT中也存在,尤其是在其代碼中。 由於對__proto_mutations的處理不當,此漏洞使攻擊者可以手寫任意內存。
Windows和macOS用戶可以從Firefox,幫助或打開後立即顯示在屏幕上的警告直接從Firefox更新。 如果我們安裝了Firefox的快照版,則Linux用戶可以執行相同的操作。 如果不是這種情況,並且因為我注意到其他Firefox而沒有,我們可以下載二進製文件並將其複製到Firefox文件夾以使用最新版本。 我個人不建議這樣做,所以 最好的辦法是等待大約48小時,直到存儲庫中提供Firefox 66.0.1 長官。
您是否擔心Firefox 66.0.1修復的這兩個錯誤?