Prizorga eldono de Fajrovulpo 101.0.1 estas havebla, rimarkinda pro plifortigo de sablokesto-izolado sur la Vindoza platformo. La nova versio ebligas, defaŭlte, bloki aliron al la Win32k API (Win32 GUI-komponentoj kurantaj ĉe la kernnivelo) de izolitaj enhavprocezoj. La ŝanĝo estis farita antaŭ la konkurso Pwn2Own 2022, kiu okazos la 18-20-an de majo. Pwn2Own-partoprenantoj montros laborteknikojn por ekspluati antaŭe nekonatajn vundeblecojn kaj, se sukcesos, ricevos imponajn rekompencojn. Ekzemple, la superpago por preterpasi sablokeston izolitecon en Firefox sur la Vindoza platformo estas $ 100 mil.
Aliaj ŝanĝoj inkluzivas solvi problemon kun subtekstoj montrantaj en bildo-en-bilda reĝimo dum uzado de Netflix, kaj ripari problemon kie kelkaj komandoj ne estis haveblaj en la bildo-en-bilda fenestro.
Aldone, estas raportite, ke novaj postuloj estis aldonitaj al la reguloj pri konservado de radikaj atestiloj de Mozilla. La ŝanĝoj, kiuj celas trakti kelkajn el la longe viditaj fiaskoj pri revoko de atestiloj de TLS-servilo, ekvalidos la 1-an de junio.
La unua ŝanĝo koncernas la kontadon de kodoj kun kialoj por revoko de atestilo (RFC 5280), kiujn atestadaŭtoritatoj nun, en iuj kazoj, devos indiki en la okazaĵo de revoko de atestilo. Antaŭe, iuj atestadaŭtoritatoj ne transdonis tiajn datumojn aŭ asignis ĝin formale, kio malfaciligis spuri la kialojn de revokado de servilaj atestiloj. Nun, ĝusta kompletigo de raciaj kodoj en atestilistoj (CRL) fariĝos deviga kaj permesos al ni apartigi situaciojn rilatajn al kompromiso de ŝlosiloj kaj malobservo de reguloj por labori kun atestiloj de ne-sekurecaj kazoj, kiel ŝanĝado de informoj pri organizo, vendante domajnon, aŭ anstataŭigante atestilon antaŭ la tempoplano.
La dua ŝanĝo devigas atestajn aŭtoritatojn elsendi la plenajn URL-ojn de atestilistoj (CRL) al la radika kaj meza atestdatumbazo (CCADB, Common CA Certificate Database). La ŝanĝo ebligos plene konsideri ĉiujn revokitajn TLS-atestilojn, kaj ankaŭ antaŭŝarĝi pli kompletajn datumojn pri revokitaj atestiloj en Firefox, kiuj povas esti uzataj por konfirmo sen sendi peton al la serviloj de atestadaj aŭtoritatoj dum la TLS. procezo de agordo de konekto.
fonto: opennet.ru