Firefox 66.0.1 ត្រូវចេញផ្សាយជាមួយ Fix for Vulnerabilities Critical Security ដែលរកឃើញ តាមរយៈ Trend Micro‘s Zero Day Initiative។ ភាពងាយរងគ្រោះប៉ះពាល់ដល់កំណែទាំងអស់នៃ version Firefox ក្រោម 66.0.1។  អ្នកវាយប្រហារអាចទាញយកភាពងាយរងគ្រោះទាំងនេះដើម្បីគ្រប់គ្រងពេញលេញលើប្រព័ន្ធគោលដៅនៃដំណើរការ។

CVE-2019-9810: ព័ត៌មានក្លែងក្លាយមិនត្រឹមត្រូវ 

ព័ត៌មានក្លែងក្លាយមិនត្រឹមត្រូវជាមួយកម្មវិធី IonMonkey JIT complier សម្រាប់ Array.prototypeype .slice នាំឱ្យបាត់ការកំណត់ព្រំដែន និងការបង្ហូរ buffer។  ការត្រួតពិនិត្យព្រំដែនគឺជាវិធីសាស្ត្រដែល ប្រើសម្រាប់រកឃើញអថេរដែលមាននៅក្នុងព្រំដែននោះការត្រួតពិនិត្យមើលដែលបរាជ័យនឹងឆ្លងកាត់ករណីលើកលែង និងលទ្ធផលនៅក្នុងភាពងាយរងគ្រោះផ្នែកសុវត្ថិភាព។

CVE-2019-9813: ភាពច្របូកច្របល់ប្រភេទ Ionmonkey ជាមួយនឹងការផ្លាស់ប្តូរ protocol

Mishandling នៃការផ្លាស់ប្តូរ proto នាំឱ្យមានប្រភេទនៃភាពងាយរងគ្រោះច្រឡំក្នុងកូដ IonMonkey JIT។ ភាពងាយរងគ្រោះនៃការភាន់ច្រលំកើតឡើងនៅពេលកូដមិនផ្ទៀងផ្ទាត់វត្ថុអ្វីដែលវា ត្រូវហុច ហើយប្រើវាដោយអាថ៌កំបាំងដោយមិនចាំបាច់ត្រួតពិនិត្យប្រភេទ (type-checking)។ ដោយការទាញ យកភាពងាយរងគ្រោះនេះអ្នកវាយប្រហារអាចប្រតិបត្តិពាក្យបញ្ជាដែលបំពាន ឬលេខកូដនៅលើ ម៉ាស៊ីនគោលដៅ ឬនៅក្នុងដំណើរការគោលដៅដោយគ្មានអន្តរអំពើរបស់អ្នកប្រើ។ 

ភាពងាយ រងគ្រោះនេះត្រូវរកឃើញដោយអ្នកស្រាវជ្រាវឯករាជ្យឈ្មោះ Niklas Baumstark ដែលផ្ដោត សំខាន់លើកម្មវិធី Mozilla Firefox ជាមួយនឹងការគេចពីការប្រកួតនៅក្នុងកម្មវិធីគំនិតផ្តួចផ្តើម Trend Micro Zero-day ហើយគាត់បង្ហាញកំហុស JIT ដោយជោគជ័យនៅក្នុង Firefox ដែលគាត់ទទួល  40.000 ដុល្លារ។ នៅក្នុង Pwn2Own ឆ្នាំ 2019 មាតិកាអ្នកស្រាវជ្រាវទាញយកកំហុសជាច្រើន ជាមួយអ្នកផ្តល់សេវានាំមុខគេដូចជា Edge, Mozilla Firefox, Windows, VMware និងទទួល 270,000 USD ក្នុងមួយថ្ងៃដោយការដាក់ 9 unique zero-day។ កំហុស Firefox ត្រូវណែនាំនៅ ថ្ងៃទី 2 នៃការប្រលងដោយក្រុម Fluoroacetate និងអ្នកស្រាវជ្រាវសន្តិសុខឯកជនឈ្មោះ Niklas Baumstark។