Die Veröffentlichung des Web-Browsers Firefox 102 hat stattgefunden. Firefox 102 gehört zur Kategorie der Extended Support Release (ESR)، für die Updates innerhalb eines Jahres bereitgestellt werden. Darüber hinaus wurde ein Update der vorherigen ESR-Version 91.11.0 erstellt (weitere Updates 91.12 und 91.13 werden erwartet). In den nächsten Stunden wird die Beta-Testphase für die Version Firefox 103 beginnen, deren Release für den 26. Juli geplant ist.
Die wichtigsten Neuerungen in Firefox 102:
- Es wurde die Möglichkeit geschaffen, das automatische Öffnen der Informationsleiste zu deaktivieren, die bei jedem neuen Download angezeigt wird.


- Schutz gegen die Nachverfolgung von Seitenwechseln wurde hinzugefügt, indem Parameter in der URL entfernt werden. Der Schutz beruht auf der Entfernung von Tracking-Parametern (wie utm_source) aus der URL und wird aktiviert, wenn in den Einstellungen der strenge Modus zur Blockierung unerwünschter Inhalte (Enhanced Tracking Protection -> Strict) aktiviert wird oder beim Öffnen der Seite im privaten Modus. Eine selektive Bereinigung kann auch über den Parameter privacy.query_stripping.enabled in about:config aktiviert werden.
- Die Audio-Dekodierungsfunktionen wurden in einen separaten Prozess mit strengerer Sandbox-Isolierung ausgelagert.
- Im „Bild-in-Bild“-Modus werden Untertitel angezeigt, wenn Videos von HBO Max, Funimation, Dailymotion, Tubi, Disney+ Hotstar und SonyLIV angesehen werden. Zuvor wurden Untertitel nur für YouTube, Prime Video, Netflix und Websites, die das WebVTT-Format (Web Video Text Track) verwenden, angezeigt.
- Auf der Linux-Plattform ist die Nutzung des DBus-Dienstes Geoclue zur Standortbestimmung möglich.
- Die Anzeige von PDF-Dokumenten im Hochkontrastmodus wurde verbessert.
- Im Webentwickler-Interface wurde im Style-Editor die Unterstützung zur Filterung von Stylesheets nach Namen hinzugefügt.

- In der Streams-API wurden die Klasse TransformStream und die Methode ReadableStream.pipeThrough hinzugefügt, die verwendet werden können, um Daten in Form eines Streams zwischen ReadableStream und WritableStream zu erstellen und zu übertragen, mit der Möglichkeit, einen Handler zum Transformieren des Streams für jeden Block aufzurufen.
- In der Streams-API wurden die Klassen ReadableStreamBYOBReader, ReadableByteStreamController und ReadableStreamBYOBRequest hinzugefügt, um eine effiziente direkte Übertragung binärer Daten ohne interne Warteschlangen zu ermöglichen.
- Das nicht standardmäßige Fensterattribut Window.sidebar, das nur in Firefox bereitgestellt wird, ist zur Entfernung vorgesehen.
- Die Integration von CSP (Content-Security-Policy) mit WebAssembly wurde sichergestellt, sodass CSP-Beschränkungen nun auch für WebAssembly angewendet werden können. Jetzt kann ein Dokument, für das die Ausführung von Skripten über CSP verboten ist, keinen WebAssembly-Bytecode ausführen, es sei denn, die Parameter 'unsafe-eval' oder 'wasm-unsafe-eval' sind gesetzt.
- In CSS wurde die Eigenschaft update in Media Queries eingeführt, die es ermöglicht, sich an die Aktualisierungsfrequenz anzupassen, die vom Ausgabegerät unterstützt wird (z. B. wird der Wert „slow“ für E-Book-Displays, „fast“ für normale Bildschirme und „none“ für den Druck ausgegeben).
- Für Erweiterungen, die die zweite Manifestversion unterstützen, wurde der Zugang zur Scripting-API bereitgestellt, die es ermöglicht, Skripte im Kontext von Webseiten auszuführen, CSS hinzuzufügen und zu entfernen sowie die Registrierung von Inhaltsverarbeitungsskripten zu verwalten.
- In Firefox für Android wird beim Ausfüllen von Formularen mit Kreditkartendaten jetzt eine separate Anfrage zum Speichern der eingegebenen Informationen für das Autofill-System angezeigt. Ein Problem, das zu einem Absturz führte, wenn die Bildschirmtastatur geöffnet wurde, während der Clipboard eine große Datenmenge enthielt, wurde behoben. Ein weiteres Problem, das dazu führte, dass Firefox beim Wechsel zwischen Anwendungen stoppte, wurde ebenfalls gelöst.
Neben neuen Funktionen und Fehlerbehebungen hat Firefox 102 insgesamt 22 Sicherheitsanfälligkeiten behoben, von denen 5 als kritisch eingestuft sind. Der Schwachpunkt CVE-2022-34479 ermöglicht es unter Linux, ein Pop-up-Fenster anzuzeigen, das die Adresszeile überlagert (kann verwendet werden, um eine gefälschte Benutzeroberfläche des Browsers zu simulieren, die den Benutzer irreführt, z.B. für Phishing). Der Schwachpunkt CVE-2022-34468 erlaubt es, CSP-Einschränkungen zu umgehen, die die Ausführung von JavaScript-Code in iframe verhindern, durch Substitution von URI-Links „javascript:“. Fünf Sicherheitsanfälligkeiten (auf die CVE-2022-34485, CVE-2022-34485 und CVE-2022-34484 verweisen) sind auf Probleme im Umgang mit Speicher zurückzuführen, wie z.B. Bufferüberläufe und den Zugriff auf bereits freigegebenen Speicher. Diese Probleme können potenziell zur Ausführung von Angreifercode führen, wenn speziell gestaltete Seiten geöffnet werden.
Quelle: opennet.ru



