È stato rilasciato il browser Web Firefox 102. Il rilascio di Firefox 102 è classificato come servizio di supporto esteso (ESR), per il quale vengono rilasciati aggiornamenti durante tutto l'anno. Inoltre è stato creato un aggiornamento del ramo precedente con un lungo periodo di supporto 91.11.0 (in futuro sono attesi altri due aggiornamenti 91.12 e 91.13). Il ramo Firefox 103 verrà trasferito nelle prossime ore in fase di beta testing, il cui rilascio è previsto per il 26 luglio.
Innovazioni chiave in Firefox 102:
- È possibile disattivare l'apertura automatica di un pannello con le informazioni sui file scaricati all'inizio di ogni nuovo download.
- Aggiunta protezione contro il tracciamento delle transizioni ad altre pagine impostando i parametri nell'URL. La protezione si riduce alla rimozione dei parametri utilizzati per il tracciamento (come utm_source) dall'URL e si attiva quando si abilita la modalità rigorosa per il blocco dei contenuti indesiderati (Enhanced Tracking Protection -> Strict) nelle impostazioni o quando si apre il sito in navigazione privata modalità. Lo stripping selettivo può essere abilitato anche tramite l'impostazione privacy.query_stripping.enabled in about:config.
- Le funzioni di decodifica audio vengono spostate in un processo separato con un isolamento sandbox più rigoroso.
- La modalità Picture-in-picture fornisce i sottotitoli durante la visione di video di HBO Max, Funimation, Dailymotion, Tubi, Disney+ Hotstar e SonyLIV. In precedenza, i sottotitoli venivano mostrati solo per YouTube, Prime Video, Netflix e siti che utilizzavano il formato WebVTT (Web Video Text Track).
- Sulla piattaforma Linux è possibile utilizzare il servizio Geoclue DBus per determinare la posizione.
- Visualizzazione migliorata dei documenti PDF in modalità ad alto contrasto.
- Nell'interfaccia per gli sviluppatori web, nella scheda Editor di stile, è stato aggiunto il supporto per filtrare i fogli di stile per nome.
- L'API Streams aggiunge la classe TransformStream e il metodo ReadableStream.pipeThrough, che può essere utilizzato per creare e passare dati sotto forma di pipe tra ReadableStream e WritableStream, con la possibilità di chiamare un gestore per trasformare il flusso su base continua. -base a blocchi.
- Le classi ReadableStreamBYOBReader, ReadableByteStreamController e ReadableStreamBYOBRequest sono state aggiunte all'API Streams per un trasferimento diretto efficiente di dati binari, ignorando le code interne.
- È prevista la rimozione di una proprietà non standard, Window.sidebar, fornita solo in Firefox.
- È stata fornita l'integrazione di CSP (Content-Security-Policy) con WebAssembly, che consente di applicare le restrizioni CSP anche a WebAssembly. Ora un documento per il quale l'esecuzione dello script è disabilitata tramite CSP non sarà in grado di eseguire il bytecode WebAssembly a meno che non sia impostata l'opzione "unsafe-eval" o "wasm-unsafe-eval".
- Nei CSS, le media query implementano la proprietà update, che consente di associarsi alla velocità di aggiornamento delle informazioni supportata dal dispositivo di output (ad esempio, il valore è impostato su "lento" per le schermate degli e-book, "veloce" per le schermate normali, e "nessuno" per l'output di stampa).
- Per i componenti aggiuntivi che supportano la seconda versione del manifest, viene fornito l'accesso alla Scripting API, che consente di eseguire script nel contesto dei siti, inserire e rimuovere CSS e anche gestire la registrazione degli script di elaborazione del contenuto.
- In Firefox per Android, durante la compilazione di moduli con informazioni sulla carta di credito, viene fornita una richiesta separata per salvare le informazioni immesse per il sistema di compilazione automatica dei moduli. Risolto un problema che causava un arresto anomalo durante l'apertura della tastiera su schermo se gli appunti contenevano una grande quantità di dati. Risolto un problema relativo all'arresto di Firefox durante il passaggio da un'applicazione all'altra.
Oltre alle innovazioni e alle correzioni di bug, Firefox 102 elimina 22 vulnerabilità, di cui 5 contrassegnate come pericolose. La vulnerabilità CVE-2022-34479 consente sulla piattaforma Linux di visualizzare una finestra pop-up che si sovrappone alla barra degli indirizzi (può essere utilizzata per simulare un'interfaccia browser fittizia che inganna l'utente, ad esempio, a scopo di phishing). La vulnerabilità CVE-2022-34468 consente di aggirare le restrizioni CSP che vietano l'esecuzione di codice JavaScript in un iframe tramite la sostituzione del collegamento URI "javascript:". 5 (raccolte sotto CVE-2022-34485, CVE-2022-34485 e CVE-2022-34484) sono causate da problemi con la memoria, come buffer overflow e accesso ad aree di memoria già liberate. Potenzialmente questi problemi possono portare all'esecuzione del codice di un utente malintenzionato all'apertura di pagine appositamente progettate.
Fonte: opennet.ru