Keluaran penyelenggaraan Firefox 101.0.1 tersedia, terkenal untuk mengukuhkan pengasingan kotak pasir pada platform Windows. Versi baharu membolehkan, secara lalai, menyekat akses kepada API Win32k (komponen GUI Win32 yang berjalan pada peringkat kernel) daripada proses kandungan terpencil. Perubahan itu dibuat menjelang pertandingan Pwn2Own 2022, yang akan berlangsung pada 18-20 Mei. Peserta Pwn2Own akan menunjukkan teknik bekerja untuk mengeksploitasi kelemahan yang tidak diketahui sebelum ini dan, jika berjaya, akan menerima ganjaran yang mengagumkan. Sebagai contoh, premium untuk memintas pengasingan kotak pasir dalam Firefox pada platform Windows ialah $100 ribu.
Perubahan lain termasuk membetulkan isu dengan sari kata yang ditunjukkan dalam mod gambar dalam gambar semasa menggunakan Netflix, dan menyelesaikan isu di mana beberapa arahan tidak tersedia dalam tetingkap gambar dalam gambar.
Selain itu, dilaporkan bahawa keperluan baharu telah ditambahkan pada peraturan penyimpanan sijil akar Mozilla. Perubahan itu, yang bertujuan untuk menangani beberapa kegagalan pembatalan sijil pelayan TLS yang telah lama dilihat, akan berkuat kuasa pada 1 Jun.
Perubahan pertama melibatkan perakaunan kod dengan sebab pembatalan sijil (RFC 5280), yang kini pihak berkuasa pensijilan, dalam beberapa kes, perlu nyatakan sekiranya berlaku pembatalan sijil. Sebelum ini, sesetengah pihak berkuasa pensijilan tidak menghantar data sedemikian atau memberikannya secara rasmi, yang menyukarkan untuk menjejaki sebab untuk membatalkan sijil pelayan. Kini, pelengkapan kod sebab yang betul dalam senarai pembatalan sijil (CRL) akan menjadi wajib dan akan membolehkan kami memisahkan situasi yang berkaitan dengan kompromi kunci dan pelanggaran peraturan untuk bekerja dengan sijil daripada kes bukan keselamatan, seperti menukar maklumat tentang organisasi, menjual domain atau menggantikan sijil lebih awal daripada jadual.
Perubahan kedua mewajibkan pihak berkuasa pensijilan untuk menghantar URL penuh senarai pembatalan sijil (CRL) ke pangkalan data sijil akar dan perantaraan (CCADB, Pangkalan Data Sijil Common CA). Perubahan ini akan memungkinkan untuk mengambil kira sepenuhnya semua sijil TLS yang dibatalkan, serta pramuat data yang lebih lengkap tentang sijil yang dibatalkan ke dalam Firefox, yang boleh digunakan untuk pengesahan tanpa menghantar permintaan kepada pelayan pihak berkuasa pensijilan semasa TLS proses persediaan sambungan.
Sumber: opennet.ru