Firefox 101.0.1 යාවත්කාලීන කිරීම. සහතික කිරීමේ බලධාරීන් සඳහා Mozilla හි අවශ්යතා ශක්තිමත් කිරීම

ෆයර්ෆොක්ස් 101.0.1 නඩත්තු නිකුතුවක් ඇත, වින්ඩෝස් වේදිකාවේ වැලිපිල්ල හුදකලාව ශක්තිමත් කිරීම සඳහා කැපී පෙනේ. නව අනුවාදය පෙරනිමියෙන්, Win32k API වෙත ප්‍රවේශය අවහිර කරයි (කර්නල් මට්ටමින් ධාවනය වන Win32 GUI සංරචක) හුදකලා අන්තර්ගත ක්‍රියාවලීන්ගෙන්. මැයි 2-2022 දක්වා පැවැත්වෙන Pwn18Own 20 තරඟයට පෙර මෙම වෙනස සිදු කරන ලදී. Pwn2Own සහභාගිවන්නන් කලින් නොදන්නා දුර්වලතා ගසාකෑම සඳහා ක්‍රියාකාරී තාක්ෂණික ක්‍රම පෙන්වනු ඇති අතර, සාර්ථක වුවහොත්, ආකර්ෂණීය ත්‍යාග ලැබෙනු ඇත. උදාහරණයක් ලෙස, වින්ඩෝස් වේදිකාවේ ෆයර්ෆොක්ස් හි වැලිපිල්ල හුදකලා කිරීම මග හැරීම සඳහා වාරිකය ඩොලර් 100 දහසකි.

Netflix භාවිතා කරන විට පින්තූර-තුළ-පින්තූර ආකාරයෙන් පෙන්වන උපසිරැසි වල ගැටළුවක් නිරාකරණය කිරීම සහ පින්තූර-තුළ-පින්තූර කවුළුවේ සමහර විධානයන් නොමැති ගැටළුවක් විසඳීම අනෙකුත් වෙනස්කම් වලට ඇතුළත් වේ.

මීට අමතරව, Mozilla මූල සහතික ගබඩා කිරීමේ නීතිවලට නව අවශ්‍යතා එකතු කර ඇති බව වාර්තා වේ. දිගු කලක් තිස්සේ දැක ඇති සමහර TLS සේවාදායක සහතිකය අවලංගු කිරීමේ අසාර්ථකත්වයන් විසඳීම අරමුණු කරගත් වෙනස්කම් ජූනි 1 දින සිට බලාත්මක වනු ඇත.

පළමු වෙනස් කිරීම, සහතික අවලංගු කිරීම සඳහා හේතු සහිත කේත ගිණුම්කරණයට අදාළ වේ (RFC 5280), සහතික කිරීමේ බලධාරීන් දැන්, සමහර අවස්ථාවලදී, සහතිකය අවලංගු කිරීමේ අවස්ථාවකදී සඳහන් කිරීමට අවශ්‍ය වනු ඇත. මීට පෙර, සමහර සහතික කිරීමේ බලධාරීන් එවැනි දත්ත සම්ප්‍රේෂණය නොකළ හෝ එය විධිමත් ලෙස පැවරුවේ නැත, එමඟින් සේවාදායක සහතික අවලංගු කිරීමට හේතු සොයා ගැනීම දුෂ්කර විය. දැන්, සහතික අවලංගු කිරීමේ ලැයිස්තුවේ (CRLs) හේතු කේත නිවැරදිව සම්පූර්ණ කිරීම අනිවාර්ය වන අතර, අනාරක්ෂිත අවස්ථා වල සහතික සමඟ වැඩ කිරීම සඳහා යතුරු සම්මුතිය සහ නීති උල්ලංඝනය කිරීම සම්බන්ධ අවස්ථා වෙන් කිරීමට අපට ඉඩ සලසයි. සංවිධානය, වසමක් විකිණීම හෝ කාලසටහනට පෙර සහතිකයක් ප්‍රතිස්ථාපනය කිරීම.

දෙවන වෙනස් කිරීම සහතික අවලංගු කිරීමේ ලැයිස්තුවේ (CRLs) සම්පූර්ණ URL මූල සහ අතරමැදි සහතික දත්ත ගබඩාවට (CCADB, Common CA සහතික දත්ත ගබඩාව) සම්ප්‍රේෂණය කිරීමට සහතික කිරීමේ බලධාරීන්ට බැඳී සිටී. මෙම වෙනස මඟින් අවලංගු කරන ලද සියලුම TLS සහතික සම්පූර්ණයෙන්ම සැලකිල්ලට ගත හැකි අතර, TLS අතරතුර සහතික කිරීමේ බලධාරීන්ගේ සේවාදායකයන්ට ඉල්ලීමක් යැවීමකින් තොරව සත්‍යාපනය සඳහා භාවිතා කළ හැකි, අවලංගු කරන ලද සහතික පිළිබඳ සම්පූර්ණ දත්ත ෆයර්ෆොක්ස් වෙත පූර්ව-පූරණය කිරීමට හැකි වේ. සම්බන්ධතා සැකසුම් ක්රියාවලිය.

මූලාශ්රය: opennet.ru