Kutulutsidwa kokonzekera kwa Firefox 101.0.1 kulipo, kodziwika kulimbikitsa kudzipatula kwa sandbox papulatifomu ya Windows. Mtundu watsopanowu umathandizira, mwachisawawa, kutsekereza mwayi wofikira Win32k API (Win32 GUI zigawo zomwe zikuyenda pamlingo wa kernel) kuchokera kuzinthu zakutali. Kusinthaku kudapangidwa patsogolo pa mpikisano wa Pwn2Own 2022, womwe udzachitike Meyi 18-20. Otenga nawo mbali a Pwn2Own awonetsa njira zogwirira ntchito pogwiritsa ntchito ziwopsezo zomwe sizinali zodziwika kale ndipo, ngati zipambana, adzalandira mphotho zabwino. Mwachitsanzo, ndalama zolipirira kusakatula sandbox mu Firefox pa Windows nsanja ndi $ 100 zikwi.
Zosintha zina zikuphatikiza kukonza vuto ndi mawu am'munsi omwe akuwonetsa pazithunzi-pazithunzi mukamagwiritsa ntchito Netflix, ndikukonza vuto pomwe malamulo ena sanapezeke pawindo lazithunzi.
Kuphatikiza apo, zikunenedwa kuti zofunika zatsopano zawonjezedwa ku malamulo osungira satifiketi ya Mozilla. Zosinthazi, zomwe cholinga chake ndi kuthana ndi zovuta zina zomwe zawonedwa kwanthawi yayitali za kuchotsedwa kwa satifiketi ya TLS, ziyamba kugwira ntchito pa Juni 1.
Kusintha koyamba kukukhudza kuwerengera kwa ma code omwe ali ndi zifukwa zochotsera satifiketi (RFC 5280), zomwe akuluakulu azotsimikizira, nthawi zina, adzafunika kuwonetsa pakachotsedwa satifiketi. M'mbuyomu, akuluakulu ena opereka ziphaso sanasamutsire zidziwitso zotere kapena kuzipereka mwalamulo, zomwe zidapangitsa kuti zikhale zovuta kutsatira zifukwa zochotsera ziphaso za seva. Tsopano, kukwaniritsidwa kolondola kwa zizindikiritso pamindandanda yochotsera satifiketi (CRLs) kudzakhala kovomerezeka ndipo kudzatilola kuti tisiyanitse zochitika zokhudzana ndi kuphwanya makiyi ndi kuphwanya malamulo ogwirira ntchito ndi satifiketi kuchokera kumilandu yopanda chitetezo, monga kusintha zidziwitso za bungwe, kugulitsa dera, kapena kusintha satifiketi isanakwane.
Kusintha kwachiwiri kukakamiza akuluakulu a certification kuti atumize ma URL onse a mindandanda yochotsera satifiketi (CRLs) ku nkhokwe ya satifiketi ya mizu ndi yapakatikati (CCDB, Common CA Certificate Database). Kusinthaku kupangitsa kuti zitheke kuganiziranso ziphaso zonse za TLS zomwe zachotsedwa, komanso kutsitsa zidziwitso zambiri za satifiketi zomwe zachotsedwa mu Firefox, zomwe zitha kugwiritsidwa ntchito kutsimikizira popanda kutumiza pempho ku ma seva a akuluakulu a certification panthawi ya TLS. njira yolumikizira kulumikizana.
Source: opennet.ru