Er is een onderhoudsrelease van Firefox 101.0.1 beschikbaar, die opmerkelijk is vanwege het versterken van de sandbox-isolatie op het Windows-platform. De nieuwe versie maakt het standaard mogelijk om de toegang tot de Win32k API (Win32 GUI-componenten die op kernelniveau draaien) te blokkeren vanuit geïsoleerde inhoudsprocessen. De wijziging werd doorgevoerd voorafgaand aan de Pwn2Own 2022-competitie, die van 18 tot en met 20 mei plaatsvindt. Pwn2Own-deelnemers zullen werktechnieken demonstreren voor het exploiteren van voorheen onbekende kwetsbaarheden en zullen, indien succesvol, indrukwekkende beloningen ontvangen. De premie voor het omzeilen van sandbox-isolatie in Firefox op het Windows-platform bedraagt bijvoorbeeld $100.
Andere wijzigingen zijn onder meer het oplossen van een probleem waarbij ondertitels worden weergegeven in de beeld-in-beeld-modus bij gebruik van Netflix, en het oplossen van een probleem waarbij sommige opdrachten niet beschikbaar waren in het beeld-in-beeld-venster.
Bovendien wordt gemeld dat er nieuwe vereisten zijn toegevoegd aan de opslagregels voor Mozilla-rootcertificaten. De wijzigingen, die tot doel hebben een aantal van de al lang bestaande fouten bij het intrekken van TLS-servercertificaten op te lossen, worden op 1 juni van kracht.
De eerste wijziging betreft de boekhouding van codes met redenen voor certificaatintrekking (RFC 5280), die certificeringsinstanties nu in sommige gevallen moeten aangeven in het geval van een certificaatintrekking. Voorheen hebben sommige certificeringsinstanties dergelijke gegevens niet doorgegeven of formeel toegewezen, waardoor het moeilijk werd de redenen voor het intrekken van servercertificaten te achterhalen. Nu wordt het correct invullen van redencodes in certificaatintrekkingslijsten (CRL’s) verplicht en kunnen we situaties scheiden die verband houden met het compromitteren van sleutels en overtreding van regels voor het werken met certificaten uit niet-beveiligingszaken, zoals het wijzigen van informatie over een organisatie, het verkopen van een domein of het eerder dan gepland vervangen van een certificaat.
De tweede wijziging verplicht certificeringsautoriteiten om de volledige URL's van certificaatintrekkingslijsten (CRL's) naar de root- en tussenliggende certificatendatabase (CCADB, Common CA Certificate Database) te verzenden. De wijziging maakt het mogelijk om volledig rekening te houden met alle ingetrokken TLS-certificaten, en om completere gegevens over ingetrokken certificaten vooraf in Firefox te laden, die voor verificatie kunnen worden gebruikt zonder een verzoek naar de servers van certificeringsautoriteiten te sturen tijdens de TLS. proces voor het instellen van de verbinding.
Bron: opennet.ru