Адбыўся рэліз web-браўзэра Firefox 102. Выпуск Firefox 102 аднесены да катэгорыі галінак з працяглым тэрмінам падтрымкі (ESR), абнаўленні для якіх выпускаюцца на працягу года. Акрамя таго, сфарміравана абнаўленне мінулай веткі з працяглым тэрмінам падтрымкі 91.11.0 (у далейшым чакаецца яшчэ два абнаўленні 91.12 і 91.13). На стадыю бэта-тэставанні ў найблізкія гадзіны будзе пераведзена галінка Firefox 103, рэліз якой вызначаны на 26 ліпеня.
Асноўныя навіны ў Firefox 102:
- Прадастаўлена магчымасць адключэння аўтаматычнага адкрыцця панэлі з інфармацыяй аб загружаных файлах пры пачатку кожнай новай загрузкі.
- Дададзена абарона ад адсочвання пераходу на іншыя старонкі праз выстаўленне параметраў у URL. Абарона зводзіцца да выдалення з URL параметраў, выкарыстоўваных для адсочвання (такіх як utm_source), і актывуецца пры ўключэнні ў наладах строгага рэжыму блакавання непажаданага кантэнту (Enhanced Tracking Protection -> Strict) або пры адкрыцці сайта ў рэжыме прыватнага прагляду. Выбарачна чыстку таксама можна ўлучыць праз параметр privacy.query_stripping.enabled у about:config.
- Функцыі дэкадавання гуку вынесены ў асобны працэс з стражэйшай sandbox-ізаляцыяй.
- У рэжыме "карцінка ў малюнку" забяспечаны паказ субтытраў, пры праглядзе відэа з сайтаў HBO Max, Funimation, Dailymotion, Tubi, Disney + Hotstar і SonyLIV. Раней субтытры паказваліся толькі для YouTube, Prime Video, Netflix і сайтаў, якія выкарыстоўваюць фармат WebVTT (Web Video Text Track).
- На платформе Linux прадстаўлена магчымасць выкарыстання DBus-сэрвісу Geoclue для вызначэння месцазнаходжання.
- Палепшаны прагляд PDF-дакументаў у рэжыме высокага кантрасту.
- У інтэрфейсе для web-распрацоўнікаў ва ўкладцы Style Editor з'явілася падтрымка фільтрацыі табліц стыляў па імі.
- У API Streams дададзены клас TransformStream і метад ReadableStream.pipeThrough, якія можна выкарыстоўваць для стварэння і перадачы дадзеных у форме патоку (pipe) паміж ReadableStream і WritableStream, з магчымасцю выкліку апрацоўшчыка для пераўтварэння патоку для кожнага блока.
- У API Streams дададзены класы ReadableStreamBYOBReader, ReadableByteStreamController і ReadableStreamBYOBRequest для эфектыўнай прамой перадачы бінарных дадзеных у абыход унутраных чэргаў.
- Намечана для выдалення нестандартная ўласцівасць Window.sidebar, якое прадстаўляецца толькі ў Firefox.
- Забяспечана інтэграцыя CSP (Content-Security-Policy) з WebAssembly, што дазваляе прымяняць абмежаванні CSP і для WebAssembly. Зараз дакумент, для якога праз CSP забараняецца выкананне скрыптоў, не зможа запусціць байткод WebAssembly, калі не выстаўлены параметр 'unsafe-eval' ці 'wasm-unsafe-eval'.
- У CSS у медыя-запытах рэалізавана ўласцівасць update, якое дазваляе прывязацца да частаты абнаўлення інфармацыі, якая падтрымліваецца прыладай высновы (напрыклад, значэнне "slow" выстаўляецца для экранаў электронных кніг, "fast" для звычайных экранаў, а "none" пры выснове на друк).
- Для дадаткаў, якія падтрымліваюць другую версію маніфеста, прадстаўлены доступ да API Scripting, які дазваляе запускаць скрыпты ў кантэксце сайтаў, падстаўляць і выдаляць CSS, а таксама кіраваць рэгістрацыяй скрыптоў апрацоўкі кантэнту.
- У Firefox для Android пры запаўненні формаў з дадзенымі крэдытнай карты забяспечаны вывад асобнага запыту на захаванне ўведзенай інфармацыі для сістэмы аўтазапаўнення формаў. Ухіленая праблема, якая прыводзіла да аварыйнага завяршэння пры адкрыцці экраннай клавіятуры, калі ў буферы абмену ўтрымоўваецца вялікая порцыя дадзеных. Вырашана праблема з прыпынкам Firefox пры пераключэнні паміж прыкладаннямі.
Акрамя навін і выпраўленні памылак у Firefox 102 ухіленыя 22 уразлівасці, з якіх 5 пазначаныя як небяспечныя. Уразлівасць CVE-2022-34479 дазваляе на платформе Linux вывесці ўсплывальнае акно, якое перакрывае адрасны радок (можа выкарыстоўвацца для сімуляцыі фіктыўнага інтэрфейсу браўзэра, які ўводзіць карыстача ў памылку, напрыклад, для фішынгу). Уразлівасць CVE-2022-34468 дазваляе абыйсці абмежаванні CSP, якія забараняюць выкананне JavaScript-кода ў iframe, праз падстаноўку спасылак URI "javascript:". 5 уразлівасцяў (зведзены пад CVE-2022-34485, CVE-2022-34485 і CVE-2022-34484) выкліканыя праблемамі працы з памяццю, такімі як перапаўненні буфераў і зварот да ўжо вызваленых абласцей памяці. Патэнцыйна дадзеныя праблемы здольныя прывесці да выканання кода зламысніка пры адкрыцці спецыяльна аформленых старонак.
Крыніца: opennet.ru