De webbrowser Firefox 102 is uitgebracht. De release van Firefox 102 is geclassificeerd als een Extended Support Service (ESR), waarvoor het hele jaar door updates worden uitgebracht. Daarnaast is er een update van de vorige branch met een lange ondersteuningsperiode 91.11.0 gemaakt (in de toekomst worden nog twee updates 91.12 en 91.13 verwacht). De Firefox 103-tak zal de komende uren worden overgebracht naar de bètatestfase, waarvan de release gepland staat voor 26 juli.
Belangrijkste innovaties in Firefox 102:
- Het is mogelijk om het automatisch openen van een paneel met informatie over gedownloade bestanden aan het begin van elke nieuwe download uit te schakelen.
- Bescherming toegevoegd tegen het volgen van overgangen naar andere pagina's door parameters in de URL in te stellen. De bescherming komt neer op het verwijderen van parameters die worden gebruikt voor tracking (zoals utm_source) uit de URL en wordt geactiveerd wanneer u de strikte modus voor het blokkeren van ongewenste inhoud (Enhanced Tracking Protection -> Strict) inschakelt in de instellingen of wanneer u de site opent in privé browsen modus. Selectief strippen kan ook worden ingeschakeld via de instelling privacy.query_stripping.enabled in about:config.
- Audiodecoderingsfuncties worden verplaatst naar een afzonderlijk proces met strengere sandbox-isolatie.
- De Picture-in-picture-modus biedt ondertiteling bij het bekijken van video's van HBO Max, Funimation, Dailymotion, Tubi, Disney+ Hotstar en SonyLIV. Voorheen werden ondertitels alleen weergegeven voor YouTube, Prime Video, Netflix en sites die het WebVTT-formaat (Web Video Text Track) gebruikten.
- Op het Linux-platform is het mogelijk om de Geoclue DBus-service te gebruiken om de locatie te bepalen.
- Verbeterde weergave van PDF-documenten in hoogcontrastmodus.
- In de interface voor webontwikkelaars is op het tabblad Stijleditor ondersteuning toegevoegd voor het filteren van stijlbladen op naam.
- De Streams API voegt de klasse TransformStream en de methode ReadableStream.pipeThrough toe, die kunnen worden gebruikt om gegevens in de vorm van een pipe tussen een ReadableStream en een WritableStream te creëren en door te geven, met de mogelijkheid om een handler aan te roepen om de stream op een per -blokbasis.
- De klassen ReadableStreamBYOBReader, ReadableByteStreamController en ReadableStreamBYOBRequest zijn toegevoegd aan de Streams API voor efficiënte directe overdracht van binaire gegevens, waarbij interne wachtrijen worden omzeild.
- Een niet-standaard eigenschap, Window.sidebar, die alleen in Firefox wordt aangeboden, zal naar verwachting worden verwijderd.
- Er is integratie van CSP (Content-Security-Policy) met WebAssembly voorzien, waardoor u CSP-beperkingen ook op WebAssembly kunt toepassen. Nu kan een document waarvoor scriptuitvoering is uitgeschakeld via CSP geen WebAssembly-bytecode uitvoeren tenzij de optie 'unsafe-eval' of 'wasm-unsafe-eval' is ingesteld.
- In CSS implementeren mediaquery's de eigenschap update, waarmee u zich kunt binden aan de updatesnelheid van informatie die wordt ondersteund door het uitvoerapparaat (de waarde is bijvoorbeeld ingesteld op 'langzaam' voor e-boekschermen, 'snel' voor gewone schermen, en “geen” voor afdrukuitvoer).
- Voor add-ons die de tweede versie van het manifest ondersteunen, wordt toegang geboden tot de Scripting API, waarmee u scripts kunt uitvoeren in de context van sites, CSS kunt invoegen en verwijderen, en ook de registratie van scripts voor inhoudsverwerking kunt beheren.
- In Firefox voor Android wordt bij het invullen van formulieren met creditcardgegevens een afzonderlijk verzoek ingediend om de ingevoerde gegevens op te slaan voor het systeem voor automatisch invullen van formulieren. Er is een probleem opgelost dat een crash veroorzaakte bij het openen van het schermtoetsenbord als het klembord een grote hoeveelheid gegevens bevatte. Er is een probleem opgelost waarbij Firefox stopte bij het schakelen tussen applicaties.
Naast innovaties en bugfixes elimineert Firefox 102 22 kwetsbaarheden, waarvan er 5 als gevaarlijk zijn gemarkeerd. Kwetsbaarheid CVE-2022-34479 maakt het mogelijk om op het Linux-platform een pop-upvenster weer te geven dat de adresbalk overlapt (kan worden gebruikt om een fictieve browserinterface te simuleren die de gebruiker misleidt, bijvoorbeeld voor phishing). Kwetsbaarheid Met CVE-2022-34468 kunt u CSP-beperkingen omzeilen die de uitvoering van JavaScript-code in een iframe verbieden via URI "javascript:"-linkvervanging. Vijf kwetsbaarheden (verzameld onder CVE-5-2022, CVE-34485-2022 en CVE-34485-2022) worden veroorzaakt door problemen met geheugen, zoals bufferoverflows en toegang tot reeds vrijgekomen geheugengebieden. Mogelijk kunnen deze problemen ertoe leiden dat de code van een aanvaller wordt uitgevoerd bij het openen van speciaal ontworpen pagina's.
Bron: opennet.ru