Siideynta dayactirka Firefox 101.0.1 ayaa diyaar ah, oo caan ku ah xoojinta go'doominta sanduuqa-cammuudda ee aaladda Windows. Nooca cusub wuxuu awood u siinayaa, si caadi ah, inuu xannibo gelitaanka Win32k API (Qaybaha Win32 GUI ee ku socda heerka kernel) ee geeddi-socodka tusmada go'doonsan. Isbeddelka ayaa la sameeyay ka hor tartanka Pwn2Own 2022, kaas oo dhici doona May 18-20. Ka qaybgalayaasha Pwn2Own waxay soo bandhigi doonaan farsamooyin shaqo oo looga faa'iidaysto dayacan aan hore loo aqoon, haddii lagu guuleysto, waxay heli doonaan abaal-marinno cajiib ah. Tusaale ahaan, khidmadaha lagu dhaafo go'doominta sanduuqa-cammuudka ee Firefox-ka ee madal Windows waa $100 kun.
Isbeddelada kale waxaa ka mid ah in la xalliyo arrin hoosaadyo muujinaya qaabka sawirka marka la isticmaalayo Netflix, iyo hagaajinta arrin amarrada qaarkood aan laga helin daaqada sawirka-sawirka.
Intaa waxaa dheer, waxaa la sheegay in shuruudo cusub lagu daray qawaaniinta kaydinta shahaadada xididka Mozilla. Isbeddellada, kuwaas oo ujeeddadoodu tahay in wax laga qabto qaar ka mid ah guuldarrooyinka shahaadadda TLS ee seerfarka ee muddada dheer la arkay, waxay dhaqan geli doonaan Juun 1.
Isbeddelka ugu horreeya wuxuu khuseeyaa xisaabinta koodhadhka iyada oo la raacayo sababaha kala noqoshada shahaadada (RFC 5280), taas oo masuuliyiinta caddayntu hadda, xaaladaha qaarkood, looga baahan doono inay muujiyaan haddii ay dhacdo shahaado kala noqoshada. Markii hore, qaar ka mid ah maamulayaasha shahaadooyinka ma gudbin xogtan ama si rasmi ah uma xilsaarin, taas oo ka dhigtay mid adag in la raaco sababaha kala noqoshada shahaadooyinka server-ka. Hadda, dhammaystirka saxda ah ee koodka sababta ee liisaska ka noqoshada shahaadada (CRLs) waxay noqon doontaa qasab waxayna noo oggolaan doontaa inaan kala saarno xaaladaha la xiriira tanaasulka furayaasha iyo ku xadgudubka xeerarka ka shaqeynta shahaadooyinka kiisaska aan amniga ahayn, sida beddelka macluumaadka ku saabsan ururka, iibinta domain, ama bedelida shahaado ka hor jadwalka.
Isbeddelka labaad wuxuu ku qasban yahay mas'uuliyiinta shahaado si ay u gudbiyaan URL-yada buuxa ee liisaska ka noqoshada shahaadada (CRLs) saldhigga iyo xogta shahaadada dhexe (CCCADB, Xogta Shahaadada CA ee Caadiga ah). Isbeddelku wuxuu suurtogal ka dhigayaa in si buuxda loo tixgeliyo dhammaan shahaadooyinka TLS ee la buriyay, iyo sidoo kale horay loogu sii shubay xog dhammaystiran oo ku saabsan shahaadooyinka la buriyay Firefox, taas oo loo isticmaali karo xaqiijinta iyada oo aan codsi loo dirin server-yada mas'uuliyiinta shahaadooyinka inta lagu jiro TLS habka dejinta isku xirka.
Source: opennet.ru