Une version de maintenance de Firefox 101.0.1 est disponible, notamment pour renforcer l'isolation du bac à sable sur la plate-forme Windows. La nouvelle version permet, par défaut, de bloquer l'accès à l'API Win32k (composants de l'interface graphique Win32 exécutés au niveau du noyau) à partir de processus de contenu isolés. Le changement a été effectué avant le concours Pwn2Own 2022, qui aura lieu du 18 au 20 mai. Les participants de Pwn2Own démontreront des techniques de travail pour exploiter des vulnérabilités jusqu'alors inconnues et, en cas de succès, recevront des récompenses impressionnantes. Par exemple, la prime pour contourner l'isolement du bac à sable dans Firefox sur la plate-forme Windows est de 100 XNUMX $.
D'autres changements incluent la résolution d'un problème avec les sous-titres affichés en mode image dans l'image lors de l'utilisation de Netflix et la résolution d'un problème où certaines commandes n'étaient pas disponibles dans la fenêtre image dans l'image.
De plus, il est signalé que de nouvelles exigences ont été ajoutées aux règles de stockage des certificats racine de Mozilla. Les changements, qui visent à remédier à certains des échecs de révocation des certificats de serveur TLS observés depuis longtemps, entreront en vigueur le 1er juin.
Le premier changement concerne la comptabilisation des codes avec motifs de révocation de certificat (RFC 5280), que les autorités de certification seront désormais, dans certains cas, tenues d'indiquer en cas de révocation de certificat. Auparavant, certaines autorités de certification ne transmettaient pas ces données ou ne les attribuaient pas formellement, ce qui rendait difficile le suivi des raisons de la révocation des certificats de serveur. Désormais, la saisie correcte des codes de motif dans les listes de révocation de certificats (CRL) deviendra obligatoire et nous permettra de distinguer les situations liées à la compromission des clés et à la violation des règles d'utilisation des certificats des cas non liés à la sécurité, tels que la modification des informations sur un organisation, vendre un domaine ou remplacer un certificat plus tôt que prévu.
Le deuxième changement oblige les autorités de certification à transmettre les URL complètes des listes de révocation de certificats (CRL) à la base de données de certificats racine et intermédiaire (CCADB, Common CA Certificate Database). Le changement permettra de prendre pleinement en compte tous les certificats TLS révoqués, ainsi que de précharger dans Firefox des données plus complètes sur les certificats révoqués, qui pourront être utilisées pour la vérification sans envoyer de demande aux serveurs des autorités de certification pendant le TLS. processus de configuration de la connexion.
Source: opennet.ru