A disztróra és a csomagkezelőre lenne jó bízni a frissítést szerintem. Vagy ha minden áron így akarod, akkor a frissítés idejére chown-nal adj jogot a user-ednek, frissítés után meg chown -R root a fájlokra.
Nem tudom mit használsz, de azért amit a disztró szállít, ott hozzá lehetnek konfigurálva a SELinux vagy AppArmor jogok is a rendszerbe, ezért keményebb lehet eleve mint a kézzel tar-ból kicsomagolt mindenféle context nélküli binárisokkal.
Szerk.: sudo firefox-ot meg szerintem semmilyen esetben se futtass. Ezzel a full rendszered kinyitod ennek a folyamatnak, attól független hogy megbízható-e vagy sem, kimész vele a netre vagy sem. Értelmetlen, inkább ahogy feljebb írtam meg te is mondtad, hogy a frissítés idejére változtatnál csak jogot, de csak normál userrel frissítve (vagy egy dedikált másikkal éppen).