Pelepasan pangropéa Firefox 101.0.1 sayogi, kasohor pikeun nguatkeun isolasi sandbox dina platform Windows. Versi anyar ngamungkinkeun, sacara standar, meungpeuk aksés ka Win32k API (komponén Win32 GUI dijalankeun dina tingkat kernel) tina prosés eusi terasing. Parobihan éta dilakukeun sateuacan kompetisi Pwn2Own 2022, anu bakal dilaksanakeun 18-20 Mei. Pamilon Pwn2Own bakal nunjukkeun téknik damel pikeun ngamangpaatkeun kerentanan anu teu dipikanyaho sateuacana sareng, upami suksés, bakal nampi ganjaran anu pikaresepeun. Contona, premium pikeun bypassing sandbox isolasi di Firefox dina platform Windows nyaeta $100 rebu.
Parobihan sanésna kalebet ngalereskeun masalah sareng terjemahan anu ditingalikeun dina modeu gambar-di-gambar nalika nganggo Netflix, sareng ngalereskeun masalah dimana sababaraha paréntah henteu sayogi dina jandela gambar-di-gambar.
Salaku tambahan, dilaporkeun yén syarat anyar parantos ditambah kana aturan panyimpenan sertipikat akar Mozilla. Parobihan, anu tujuanana pikeun ngarengsekeun sababaraha kagagalan panyabutan sertipikat server TLS anu lami-lami, bakal dilaksanakeun dina 1 Juni.
Parobahan kahiji ngeunaan akuntansi kodeu kalawan alesan pikeun panyabutan sertipikat (RFC 5280), nu otoritas sertifikasi ayeuna bakal, dina sababaraha kasus, diperlukeun pikeun nunjukkeun dina acara panyabutan sertipikat. Saméméhna, sababaraha otoritas sertifikasi henteu ngirimkeun data sapertos atanapi ditugaskeun sacara resmi, anu matak hésé pikeun ngalacak alesan pikeun nyabut sertipikat server. Ayeuna, parantosan leres tina kode alesan dina daptar panyabutan sertipikat (CRL) bakal janten wajib sareng bakal ngamungkinkeun urang pikeun misahkeun kaayaan anu aya hubunganana sareng kompromi konci sareng palanggaran aturan pikeun damel sareng sertipikat ti kasus non-kaamanan, sapertos ngarobih inpormasi ngeunaan hiji organisasi, ngajual domain, atawa ngaganti sertipikat sateuacanna jadwal.
Parobihan kadua ngawajibkeun otoritas sertifikasi pikeun ngirimkeun URL lengkep tina daptar panyabutan sertipikat (CRL) kana pangkalan data sertipikat akar sareng panengah (CCADB, Database Sertipikat CA Umum). Parobihan éta bakal ngamungkinkeun sapinuhna merhatikeun sadaya sertipikat TLS anu dicabut, kitu ogé pre-muat data anu langkung lengkep ngeunaan sertipikat anu dicabut kana Firefox, anu tiasa dianggo pikeun verifikasi tanpa ngirim pamenta ka server otoritas sertifikasi salami TLS. prosés setelan sambungan.
sumber: opennet.ru