Dostępna jest wersja konserwacyjna przeglądarki Firefox 101.0.1, która wyróżnia się wzmocnieniem izolacji piaskownicy na platformie Windows. Nowa wersja umożliwia domyślnie blokowanie dostępu do API Win32k (komponentów GUI Win32 działających na poziomie jądra) z izolowanych procesów treści. Zmiana została dokonana przed konkursem Pwn2Own 2022, który odbędzie się w dniach 18-20 maja. Uczestnicy Pwn2Own zademonstrują techniki pracy umożliwiające wykorzystanie nieznanych wcześniej luk w zabezpieczeniach i, jeśli się powiedzie, otrzymają imponujące nagrody. Przykładowo premia za ominięcie izolacji sandboksa w Firefoksie na platformie Windows wynosi 100 tys. dolarów.
Inne zmiany obejmują naprawienie problemu z napisami wyświetlanymi w trybie obrazu w obrazie podczas korzystania z serwisu Netflix oraz naprawienie problemu polegającego na tym, że niektóre polecenia nie były dostępne w oknie obrazu w obrazie.
Ponadto zgłoszono, że do zasad przechowywania certyfikatów głównych Mozilli dodano nowe wymagania. Zmiany, które mają zaradzić niektórym od dawna obserwowanym błędom unieważniania certyfikatów serwerów TLS, wejdą w życie 1 czerwca.
Pierwsza zmiana dotyczy rozliczania kodów z przyczynami unieważnienia certyfikatu (RFC 5280), które urzędy certyfikacji będą teraz w niektórych przypadkach miały obowiązek wskazać w przypadku unieważnienia certyfikatu. Wcześniej część urzędów certyfikacji nie przesyłała takich danych lub przydzielała je formalnie, co utrudniało śledzenie przyczyn unieważniania certyfikatów serwerów. Teraz prawidłowe uzupełnienie kodów przyczyny na listach odwołań certyfikatów (CRL) stanie się obowiązkowe i pozwoli nam oddzielić sytuacje związane z naruszeniem bezpieczeństwa kluczy i naruszeniem zasad pracy z certyfikatami od przypadków niezwiązanych z bezpieczeństwem, takich jak zmiana informacji o organizacji, sprzedaż domeny lub wymiana certyfikatu przed terminem.
Druga zmiana zobowiązuje urzędy certyfikacji do przesyłania pełnych adresów URL list odwołań certyfikatów (CRL) do głównej i pośredniej bazy danych certyfikatów (CCADB, Common CA Certyfikat Database). Zmiana umożliwi pełne uwzględnienie wszystkich unieważnionych certyfikatów TLS, a także wstępne załadowanie do Firefoksa pełniejszych danych o unieważnionych certyfikatach, które można wykorzystać do weryfikacji bez wysyłania żądania do serwerów urzędów certyfikacji podczas TLS proces konfiguracji połączenia.
Źródło: opennet.ru