Відбувся реліз web-браузера Firefox 102. Випуск Firefox 102 віднесений до категорії гілок із тривалим терміном підтримки (ESR), оновлення для яких випускаються протягом року. Крім того, сформовано оновлення минулої гілки з тривалим терміном підтримки 91.11.0 (надалі очікується ще два оновлення 91.12 та 91.13). На стадію бета-тестування найближчим часом буде переведено гілку Firefox 103, реліз якої намічено на 26 липня.
Основні новації в Firefox 102:
- Надано можливість відключення автоматичного відкриття панелі з інформацією про завантажені файли при початку кожного нового завантаження.
- Доданий захист від відстеження переходу на інші сторінки через встановлення параметрів в URL. Захист зводиться до видалення з URL параметрів, що використовуються для відстеження (таких як utm_source), і активується при включенні в налаштуваннях жорсткого режиму блокування небажаного контенту (Enhanced Tracking Protection -> Strict) або при відкритті сайту в приватному перегляді. Вибіркове чищення також можна увімкнути через параметр privacy.query_stripping.enabled в about:config.
- Функції декодування звуку винесені в окремий процес із суворішою sandbox-ізоляцією.
- У режимі «картинка в зображенні» забезпечений показ субтитрів, переглядаючи відео з сайтів HBO Max, Funimation, Dailymotion, Tubi, Disney+ Hotstar і SonyLIV. Раніше субтитри відображалися лише для YouTube, Prime Video, Netflix та сайтів, які використовують формат WebVTT (Web Video Text Track).
- На платформі Linux надано можливість використання DBus-сервісу Geoclue для визначення розташування.
- Покращено перегляд PDF-документів у режимі високого контрасту.
- В інтерфейсі для web-розробників у вкладці Style Editor з'явилася підтримка фільтрації таблиць стилів на ім'я.
- В API Streams доданий клас TransformStream і метод ReadableStream.pipeThrough, які можна використовувати для створення та передачі даних у формі потоку (pipe) між ReadableStream та WritableStream, з можливістю виклику оброблювача для перетворення потоку для кожного блоку.
- В API Streams додані класи ReadableStreamBYOBReader, ReadableByteStreamController та ReadableStreamBYOBRequest для ефективної прямої передачі бінарних даних в обхід внутрішніх черг.
- Намічено для видалення нестандартну властивість Window.sidebar, що надається лише у Firefox.
- Забезпечена інтеграція CSP (Content-Security-Policy) з WebAssembly, що дозволяє застосовувати обмеження CSP для WebAssembly. Тепер документ, для якого через CSP забороняється виконання скриптів, не зможе запустити байткод WebAssembly, якщо не встановлено параметр 'unsafe-eval' або 'wasm-unsafe-eval'.
- У медіа-запитах CSS реалізовано властивість update, що дозволяє прив'язатися до частоти оновлення інформації, що підтримується пристроєм виводу (наприклад, значення «slow» виставляється для екранів електронних книг, «fast» для звичайних екранів, а «none» при виведенні на друк).
- Додатки, які підтримують другу версію маніфесту, мають доступ до API Scripting, що дозволяє запускати скрипти в контексті сайтів, підставляти і видаляти CSS, а також керувати реєстрацією скриптів обробки контенту.
- У Firefox для Android при заповненні форм з даними кредитної картки забезпечено виведення окремого запиту на збереження введеної інформації для автозаповнення форм. Вирішення проблеми, що призводило до аварійного завершення при відкритті екранної клавіатури, якщо буфер обміну містить велику порцію даних. Вирішено проблему із зупинкою Firefox при перемиканні між програмами.
Окрім нововведень та виправлення помилок у Firefox 102 усунуто 22 вразливості, з яких 5 позначені як небезпечні. Вразливість CVE-2022-34479 дозволяє на платформі Linux вивести спливаюче вікно, що перекриває адресний рядок (може використовуватися для симуляції фіктивного інтерфейсу браузера, що вводить в оману, наприклад, для фішингу). Вразливість CVE-2022-34468 дозволяє обійти обмеження CSP, що забороняють виконання JavaScript-коду в iframe, через підстановку посилань URI javascript:. 5 вразливостей (зведені під CVE-2022-34485, CVE-2022-34485 та CVE-2022-34484) викликані проблемами роботи з пам'яттю, такими як переповнення буферів та звернення до вже звільнених областей пам'яті. Потенційно дані проблеми можуть призвести до виконання коду зловмисника при відкритті спеціально оформлених сторінок.
Джерело: opennet.ru