Viðhaldsútgáfa af Firefox 101.0.1 er fáanleg, sem er áberandi fyrir að styrkja einangrun sandkassa á Windows pallinum. Nýja útgáfan gerir sjálfgefið kleift að loka fyrir aðgang að Win32k API (Win32 GUI hluti sem keyra á kjarnastigi) frá einangruðum efnisferlum. Breytingin var gerð fyrir Pwn2Own 2022 keppnina sem fram fer 18.-20. maí. Pwn2Own þátttakendur munu sýna vinnutækni til að nýta áður óþekkta veikleika og, ef vel tekst til, munu þeir fá glæsileg verðlaun. Til dæmis er iðgjaldið fyrir að komast framhjá sandkassaeinangrun í Firefox á Windows pallinum $100 þúsund.
Aðrar breytingar fela í sér að laga vandamál með texta sem birtist í mynd-í-mynd stillingu þegar Netflix er notað og að laga vandamál þar sem sumar skipanir voru ekki tiltækar í mynd-í-mynd glugganum.
Að auki er greint frá því að nýjum kröfum hafi verið bætt við geymslureglur Mozilla rótarvottorðs. Breytingarnar, sem miða að því að taka á sumum langvarandi bilunum í afturköllun TLS netþjónsvottorðs, munu taka gildi 1. júní.
Fyrsta breytingin snýr að bókhaldi kóða með ástæðum fyrir afturköllun skírteina (RFC 5280), sem vottunaryfirvöld munu nú í sumum tilfellum þurfa að tilgreina við afturköllun skírteina. Áður höfðu sum vottunaryfirvöld ekki sent slík gögn eða úthlutað þeim formlega, sem gerði það að verkum að erfitt var að rekja ástæðurnar fyrir afturköllun netþjónaskírteina. Nú verður rétt útfylling á ástæðukóða í skírteinaafturköllunarlistum (CRLs) skylda og mun gera okkur kleift að aðskilja aðstæður sem tengjast málamiðlun lykla og brot á reglum um að vinna með vottorð úr málum sem ekki eru öryggismál, eins og að breyta upplýsingum um fyrirtæki, selja lén eða skipta um skírteini á undan áætlun.
Önnur breytingin skyldar vottunaryfirvöld til að senda allar vefslóðir skírteinaafturkallunarlista (CRLs) í rótar- og millivottorðsgagnagrunninn (CCADB, Common CA Certificate Database). Breytingin mun gera það mögulegt að taka að fullu tillit til allra afturkallaðra TLS vottorða, sem og forhlaða fullkomnari gögnum um afturkölluð skilríki í Firefox, sem hægt er að nota til staðfestingar án þess að senda beiðni til netþjóna vottunaryfirvalda meðan á TLS stendur. uppsetningarferli tenginga.
Heimild: opennet.ru