Ang usa ka patch release sa Firefox 101.0.1 anaa, nga talagsaon alang sa dugang nga sandbox isolation sa Windows platform. Ang bag-ong bersyon naglakip, sa default, nga nagbabag sa pag-access sa Win32k API (Win32 GUI nga mga sangkap nga nagdagan sa lebel sa kernel) gikan sa mga proseso sa sulud sa sandbox. Ang pagbag-o gihimo sa wala pa ang kompetisyon sa Pwn2Own 2022, nga mahitabo sa Mayo 18-20. Ang mga partisipante sa Pwn2Own magpakita sa mga pamaagi sa pagtrabaho alang sa pagpahimulos sa wala pa nahibal-an nga mga kahuyangan ug, kung malampuson, makadawat mga impresibong ganti. Pananglitan, ang premium sa pag-bypass sa sandbox isolation sa Firefox sa Windows platform kay $100.
Ang uban nga mga pagbag-o naglakip sa pag-ayo sa usa ka isyu sa mga subtitle nga gipakita sa picture-in-picture mode kung gigamit ang Netflix, ug ang pag-ayo sa usa ka bug nga adunay pipila ka mga sugo nga dili magamit sa picture-in-picture window.
Dugang pa, gitaho ang bahin sa pagdugang sa bag-ong mga kinahanglanon sa mga lagda sa tindahan sa sertipiko sa ugat sa Mozilla. Ang mga pagbag-o, nga nagtumong sa pagsulbad sa pipila sa mga dugay nang nakita nga mga isyu sa pagbawi sa sertipiko sa TLS server, ipatuman sa Hunyo 1st.
Ang una nga pagbag-o may kalabotan sa accounting alang sa certificate revocation reason codes (RFC 5280), diin ang mga awtoridad sa sertipikasyon karon sa pipila ka mga kaso gikinahanglan nga ipahibalo kung adunay usa ka pagbawi sa sertipiko. Kaniadto, ang pipila ka mga awtoridad sa sertipikasyon wala magbalhin sa ingon nga datos o mag-assign niini nga pormal, nga nagpalisud sa pagsubay sa mga hinungdan sa pagbawi sa mga sertipiko sa server. Ang husto nga pagkompleto sa mga rason code sa certificate revocation lists (CRLs) mahimo na nga mandatory ug magtugot sa pagbulag sa mga sitwasyon nga may kalabutan sa mahinungdanong pagkompromiso ug paglapas sa mga lagda alang sa pagtrabaho sa mga sertipiko gikan sa mga kaso nga dili seguridad, sama sa pagbag-o sa impormasyon sa organisasyon, pagbaligya sa usa ka domain , o sayo nga pag-ilis sa usa ka sertipiko.
Ang ikaduha nga pagbag-o nag-obligar sa mga CA nga isumite ang tibuuk nga mga URL sa CRL sa Common CA Certificate Database (CCADB, Common CA Certificate Database). Ang pagbag-o mahimong posible nga hingpit nga ma-account ang tanan nga gibawi nga mga sertipiko sa TLS, ingon man ang pag-preload sa mas kompleto nga datos sa gibawi nga mga sertipiko sa Firefox, nga magamit alang sa pag-verify nga wala magpadala usa ka hangyo sa mga server sa CA sa panahon sa pag-setup sa koneksyon sa TLS.
Source: opennet.ru