Die Veröffentlichung des Webbrowsers Firefox 109 ist erfolgt. Zudem wurde ein Update für den langfristigen Support-Zweig – 102.7.0 – bereitgestellt. In Kürze wird der Beta-Test für den Firefox 110-Zweig beginnen, dessen Veröffentlichung für den 14. Februar geplant ist.
Die wichtigsten Neuerungen in Firefox 109:
- Standardmäßig wird die Unterstützung für die dritte Version des Chrome-Manifests aktiviert, welches die Funktionen und Ressourcen definiert, die für Erweiterungen verfügbar sind, die unter Verwendung der WebExtensions-API entwickelt wurden. Die Unterstützung der zweiten Version des Manifests bleibt in absehbarer Zeit bestehen. Da die dritte Version des Manifests kritisiert wurde und die Funktionalität einiger Erweiterungen zur Blockierung unerwünschter Inhalte und zur Gewährleistung der Sicherheit beeinträchtigen könnte, hat Mozilla beschlossen, keine vollständige Kompatibilität mit dem Manifest in Firefox zu gewährleisten und einige Funktionen anders umzusetzen. Zum Beispiel ist die Unterstützung des alten blockierenden Modus der webRequest-API nicht eingestellt worden, der in Chrome durch eine neue deklarative API zur Inhaltsfilterung ersetzt wurde. Auch die Unterstützung des granularen Modells zur Anforderung von Berechtigungen wurde etwas anders umgesetzt; so kann eine Erweiterung nicht mehr sofort für alle Seiten aktiviert werden (das Recht „all_urls“ wurde entfernt). In Firefox liegt die endgültige Entscheidung über den Zugang beim Nutzer, der selektiv entscheiden kann, welcher Erweiterung er Zugriff auf seine Daten auf bestimmten Websites gewähren möchte. Um die Berechtigungen zu verwalten, wurde im Interface eine Schaltfläche „Unified Extensions“ hinzugefügt, über die der Nutzer den Zugriff der Erweiterung auf eine beliebige Website gewähren oder widerrufen kann. Die Verwaltung der Berechtigungen gilt nur für Erweiterungen der dritten Manifestversion; bei Erweiterungen der zweiten Manifestversion erfolgt keine granulare Verwaltung des Zugriffs auf Websites.

- Die Ansicht in Firefox View wurde verbessert, um leere Abschnitte mit kürzlich geschlossenen Tabs und Tabs, die auf anderen Geräten geöffnet sind, anzuzeigen.
- In der Liste der kürzlich geschlossenen Tabs, die auf der Seite Firefox View angezeigt wird, wurden Schaltflächen hinzugefügt, um einzelne Links aus der Liste zu entfernen.

- Zur Adressleiste wurde die Möglichkeit hinzugefügt, die eingegebene Suchanfrage anzuzeigen, anstatt die URL der Suchmaschine anzuzeigen (d.h., die Schlüsselwörter werden in der Adressleiste nicht nur während der Eingabe, sondern auch nach der Suche und der Anzeige der damit verbundenen Suchergebnisse angezeigt). Diese Funktion ist derzeit standardmäßig deaktiviert und erfordert zur Aktivierung die Einstellung 'browser.urlbar.showSearchTerms.featureGate' in about:config.

- Der Datumswähler für das Feld mit den Typen 'date' und 'datetime' wurde für die Steuerung über die Tastatur angepasst, was eine korrekte Unterstützung von Bildschirmleseprogrammen ermöglicht und Tastenkombinationen zur Navigation im Kalender bereitstellt.
- Das Experiment zur Nutzung des integrierten Colorways-Add-ons zur Änderung des Erscheinungsbildes des Browsers ist abgeschlossen. Eine Sammlung von Farbschemata für Inhaltsbereiche, Toolbars und Tabs wurde zur Auswahl angeboten. Auf die zuvor gespeicherten Farbschemata kann über die Seite „Add-ons und Themen“ zugegriffen werden.
- Auf Systemen mit GTK wurde die Möglichkeit implementiert, mehrere Dateien gleichzeitig in den Dateimanager zu verschieben. Es wurde auch das Verschieben von Bildern von einem Tab in einen anderen ermöglicht.
- Im automatischen Klicken auf Banner, die um Erlaubnis zur Nutzung von Cookies auf Webseiten bitten (cookiebanners.bannerClicking.enabled und cookiebanners.service.mode in about:config), wurde die Funktion hinzugefügt, Websites auf eine Ausnahmeliste zu setzen, für die das automatische Klicken nicht gilt.
- Die Einstellung network.ssl_tokens_cache_use_only_once ist standardmäßig aktiviert, um die Wiederverwendung von Sitzungstickets in TLS auszuschließen.
- Die Einstellung network.cache.shutdown_purge_in_background_task wurde aktiviert, um das Problem mit dem ordnungsgemäßen Abschluss von Datei-Ein- und Ausgaben beim Herunterfahren zu beheben.
- Dem Kontextmenü der Add-ons wurde der Punkt „In die Werkzeugleiste pinnen“ hinzugefügt, um die Schaltfläche des Add-ons in der Leiste zu fixieren.
- Die Möglichkeit, Firefox als Dokumentenbetrachter auszuwählen, wurde über das Kontextmenü „Öffnen mit“ eingebaut.
- Die Seite about:support enthält nun Informationen zur Bildwiederholfrequenz.
- Einstellungen wie ui.font.menu, ui.font.icon, ui.font.caption, ui.font.status-bar, ui.font.message-box usw. wurden hinzugefügt, um die Systemschriftarten zu überschreiben.
- Die Unterstützung des Ereignisses scrollend ist standardmäßig aktiviert, das generiert wird, wenn der Benutzer das Scrollen beendet (wenn sich die Position nicht mehr ändert) in den Objekten Element und Dokument.
- Zugriffssperrung über die API Storage wurde beim Verarbeiten von Inhalten von Drittanbietern unabhängig von der API Storage Access sichergestellt.
- Im Element range wurde die Unterstützung des Attributs list hinzugefügt, das die ID des <datalist> Elements übergibt, in dem vordefinierte Eingabewerte angeboten werden.
- Im CSS-Eigenschaft content-visibility, die zur Vermeidung unnötiger Rendering von Bereichen außerhalb des sichtbaren Bereichs verwendet wird, wurde der Wert 'auto' hinzugefügt, bei dem die Sichtbarkeit vom Browser basierend auf der Nähe des Elements zur Grenze des sichtbaren Bereichs bestimmt wird.
- Im CSS-Typ <system-color> wurde die Unterstützung für die Standardwerte der Farben verschiedener Seitenkomponenten um die Werte Mark, MarkText und ButtonBorder erweitert.
- Bei Web Auth wurde die Möglichkeit zur Authentifizierung unter Verwendung des Protokolls CTAP2 (Client to Authenticator Protocol) mit USB HID-basierten Tokens hinzugefügt. Die Unterstützung ist derzeit nicht standardmäßig aktiviert und kann über den Parameter security.webauthn.ctap2 in about:config aktiviert werden.
- In den Entwicklerwerkzeugen für das Web wurde im JavaScript-Debugger eine neue Haltepunkt-Option hinzugefügt, die bei der Aktivierung des scrollend-Ereignisses ausgelöst wird.
- Im Browser-Automatisierungsprotokoll WebDriver BiDi wurde die Unterstützung für die Befehle „session.subscribe“ und „session.unsubscribe“ hinzugefügt.
- In den Builds für die Windows-Plattform wurde die Verwendung des Hardware-Schutzmechanismus ACG (Arbitrary Code Guard) aktiviert, um die Ausnutzung von Sicherheitsanfälligkeiten in Prozessen, die die Wiedergabe von Multimedia-Inhalten ermöglichen, zu blockieren.
- Auf der macOS-Plattform wurde die Funktionalität der Tastenkombinationen Ctrl/Cmd + Trackpad oder Ctrl/Cmd + Mausrad geändert, die jetzt zum Scrollen (wie in anderen Browsern) führt, anstatt zum Vergrößern.
- Verbesserungen in der Android-Version:
- Beim Ansehen von Videos im Vollbildmodus ist die Anzeige der Adresszeile beim Scrollen deaktiviert worden.
- Eine Schaltfläche zum Abbrechen von Änderungen nach dem Entfernen einer angehefteten Website wurde hinzugefügt.
- Die Aktualisierung der Liste der Suchmaschinen nach dem Sprachwechsel wurde sichergestellt.
- Ein Absturz, der bei der Eingabe großer Datenmengen in die Zwischenablage oder die Adresszeile auftritt, wurde behoben.
- Die Leistung der Canvas-Elemente wurde verbessert.
- Ein Problem mit Videoanrufen, für die nur der Codec H.264 verwendet werden kann, wurde gelöst.
Neben neuen Funktionen und Fehlerbehebungen wurden in Firefox 109 21 Sicherheitsanfälligkeiten behoben. 15 dieser Schwachstellen sind als kritisch eingestuft, darunter 13, die unter CVE-2023-23605 und CVE-2023-23606 zusammengefasst sind und durch Speicherprobleme verursacht werden, wie Pufferüberläufe und Zugriff auf bereits freigegebene Speicherbereiche. Diese Probleme könnten potenziell dazu führen, dass Angreifer beim Öffnen speziell gestalteter Seiten Code ausführen können. Die Schwachstelle CVE-2023-23597 resultiert aus einem logischen Fehler im Code zur Erstellung neuer Kindprozesse und ermöglicht das Starten eines neuen Prozesses im Kontext von file:// zum Lesen beliebiger Dateien. Die Schwachstelle CVE-2023-23598 resultiert aus einem Fehler bei der Verarbeitung von Drag & Drop-Aktionen in der GTK-Bindung und ermöglicht das Auslesen beliebiger Dateien durch einen Aufruf von DataTransfer.setData.
Quelle: opennet.ru



