Prohoster > Blog > tin tức mạng > Bản phát hành Firefox 74

Bản phát hành Firefox 74

Trình duyệt web được phát hành Firefox 74phiên bản điện thoại Firefox 68.6 cho nền tảng Android. Ngoài ra, một bản cập nhật đã được cành cây Hỗ trợ dài hạn 68.6.0. Sắp lên sân khấu thử nghiệm beta nhánh Firefox 75 sẽ chuyển qua, dự kiến ​​phát hành vào ngày 7 tháng XNUMX (dự án đã di chuyển trong 4-5 tuần chu kỳ phát triển). Dành cho nhánh Firefox 75 beta đã bắt đầu sự hình thành hội đồng cho Linux ở định dạng Flatpak.

Chính đổi mới:

  • Các bản dựng Linux sử dụng cơ chế cách ly RLBox, nhằm mục đích ngăn chặn việc khai thác lỗ hổng trong thư viện chức năng của bên thứ ba. Ở giai đoạn này, tính năng cách ly chỉ được kích hoạt cho thư viện than chì, chịu trách nhiệm hiển thị phông chữ. RLBox biên dịch mã C/C++ của thư viện bị cô lập thành mã trung gian WebAssembly cấp thấp, sau đó được thiết kế dưới dạng mô-đun WebAssembly, các quyền của mã này chỉ được đặt liên quan đến mô-đun này. Mô-đun được lắp ráp hoạt động trong một vùng bộ nhớ riêng biệt và không có quyền truy cập vào phần còn lại của không gian địa chỉ. Nếu một lỗ hổng trong thư viện bị khai thác, kẻ tấn công sẽ bị hạn chế và không thể truy cập vào các vùng bộ nhớ của tiến trình chính hoặc chuyển quyền điều khiển ra ngoài môi trường bị cô lập.
  • Chế độ DNS qua HTTPS (DoH, DNS qua HTTPS) được bật theo mặc định cho người dùng Mỹ. Nhà cung cấp DNS mặc định là CloudFlare (mozilla.cloudflare-dns.com liệt kê в danh sách chặn Roskomnadzor) và NextDNS có sẵn dưới dạng tùy chọn. Thay đổi nhà cung cấp hoặc kích hoạt DoH ở các quốc gia khác ngoài Hoa Kỳ, ai có thể trong cài đặt kết nối mạng. Bạn có thể đọc thêm về DoH trong Firefox tại thông báo riêng.

    Bản phát hành Firefox 74

  • Tàn tật hỗ trợ các giao thức TLS 1.0 và TLS 1.1. Để truy cập các trang web qua kênh liên lạc an toàn, máy chủ phải cung cấp hỗ trợ cho ít nhất TLS 1.2. Theo Google, hiện có khoảng 0.5% lượt tải xuống trang web tiếp tục được thực hiện bằng các phiên bản TLS lỗi thời. Việc tắt máy được thực hiện theo khuyến nghị IETF (Lực lượng đặc nhiệm kỹ thuật Internet). Lý do từ chối hỗ trợ TLS 1.0/1.1 là do thiếu hỗ trợ cho các mật mã hiện đại (ví dụ: ECDHE và AEAD) và yêu cầu hỗ trợ các mật mã cũ, độ tin cậy của chúng đang bị nghi ngờ ở giai đoạn phát triển công nghệ máy tính hiện nay ( ví dụ: cần phải hỗ trợ TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA, MD5 được sử dụng để kiểm tra và xác thực tính toàn vẹn và SHA-1). Khi cố gắng sử dụng TLS 1.0 và TLS 1.1 khởi động với Firefox 74, sẽ hiển thị lỗi. Bạn có thể khôi phục khả năng hoạt động với các phiên bản TLS lỗi thời bằng cách đặt security.tls.version.enable-deprecated = true hoặc bằng cách sử dụng nút trên trang lỗi được hiển thị khi truy cập một trang web có giao thức cũ.
    Bản phát hành Firefox 74

  • Ghi chú phát hành đề xuất một tiện ích bổ sung Container Facebook, tính năng này tự động chặn các tiện ích Facebook của bên thứ ba được sử dụng để xác thực, bình luận và thích. Các thông số nhận dạng của Facebook được cách ly trong một vùng chứa riêng, gây khó khăn cho việc xác định người dùng với các trang web họ truy cập. Khả năng hoạt động với trang Facebook chính vẫn còn, nhưng nó bị cô lập với các trang khác.

    Để cách ly linh hoạt hơn các trang web tùy ý, một tiện ích bổ sung được đề xuất Vùng chứa nhiều tài khoản với việc thực hiện khái niệm về thùng chứa bối cảnh. Vùng chứa cung cấp khả năng tách biệt các loại nội dung khác nhau mà không cần tạo hồ sơ riêng, cho phép bạn tách thông tin của các nhóm trang riêng lẻ. Ví dụ: bạn có thể tạo các khu vực riêng biệt, biệt lập để liên lạc cá nhân, công việc, mua sắm và giao dịch ngân hàng hoặc tổ chức việc sử dụng đồng thời các tài khoản người dùng khác nhau trên một trang web. Mỗi vùng chứa sử dụng các cửa hàng riêng biệt cho nội dung Cookie, API lưu trữ cục bộ, IndexedDB, bộ nhớ đệm và OriginAttribution.

  • Đã thêm cài đặt “browser.tabs.allowTabDetach” vào about:config để ngăn các tab bị tách vào cửa sổ mới. Việc vô tình tách tab là một trong những lỗi Firefox khó chịu nhất cần được khắc phục. tìm kiếm 9 năm. Trình duyệt cho phép chuột kéo một tab vào một cửa sổ mới, nhưng trong một số trường hợp nhất định, tab đó sẽ bị tách thành một cửa sổ riêng trong quá trình hoạt động khi chuột di chuyển bất cẩn khi nhấp vào tab.
  • Đã ngừng sản xuất hỗ trợ các tiện ích bổ sung được cài đặt theo cách vòng vo và không bị ràng buộc với hồ sơ người dùng. Thay đổi này chỉ ảnh hưởng đến việc cài đặt các tiện ích bổ sung trong các thư mục dùng chung (/usr/lib/mozilla/extensions/, /usr/share/mozilla/extensions/ hoặc ~/.mozilla/extensions/) được xử lý bởi tất cả các phiên bản Firefox trên hệ thống ( không được liên kết với người dùng). Phương pháp này thường được sử dụng để cài đặt sẵn các tiện ích bổ sung trong các bản phân phối, để thay thế không được yêu cầu bằng các ứng dụng của bên thứ ba, để tích hợp các tiện ích bổ sung độc hại hoặc để phân phối riêng một tiện ích bổ sung với trình cài đặt riêng. Trong Firefox 73, các tiện ích bổ sung được cài đặt bắt buộc trước đây đã được tự động chuyển từ thư mục dùng chung sang hồ sơ người dùng cá nhân và giờ đây có thể được loại bỏ thông qua trình quản lý tiện ích bổ sung thông thường.
  • Trong tiện ích bổ sung hệ thống Lockwise có trong trình duyệt, tiện ích này cung cấp giao diện “about:logins” để quản lý mật khẩu đã lưu, ủng hộ sắp xếp theo thứ tự ngược lại (Z đến A).
  • WebRTC đã tăng cường khả năng bảo vệ chống rò rỉ thông tin về địa chỉ IP nội bộ trong các cuộc gọi thoại và video bằng cách sử dụng "băng mDNS“, ẩn địa chỉ cục bộ đằng sau mã định danh ngẫu nhiên được tạo động được xác định thông qua DNS Multicast.
  • Đã thay đổi vị trí của nút chuyển chế độ xem ảnh trong ảnh chồng lên nút ảnh tiếp theo trong giao diện tải ảnh lên hàng loạt trên Instagram.
  • Trong JavaScript thêm toán tử “?.”, được thiết kế để kiểm tra đồng thời toàn bộ chuỗi thuộc tính hoặc lệnh gọi. Ví dụ: bằng cách chỉ định "db?.user?.name?.length", giờ đây bạn có thể truy cập giá trị của "db.user.name.length" mà không cần bất kỳ kiểm tra sơ bộ nào. Nếu bất kỳ phần tử nào được xử lý là null hoặc không xác định, đầu ra sẽ là “không xác định”.
  • Đã ngừng sản xuất hỗ trợ trên các trang web và trong các tiện ích bổ sung cho phương thức Object.toSource() và hàm toàn cục uneval().
  • Đã thêm sự kiện mới ngôn ngữchange_even và tài sản liên quan onngôn ngữchange, cho phép bạn gọi trình xử lý khi người dùng thay đổi ngôn ngữ giao diện.
  • Đã bật xử lý tiêu đề HTTP Chính sách tài nguyên chéo (CÔNG TY CỔ PHẦN), cho phép các trang web ngăn chặn việc chèn tài nguyên (ví dụ: hình ảnh và tập lệnh) được tải từ các tên miền khác (có nguồn gốc chéo và nhiều trang web). Tiêu đề có thể nhận hai giá trị: "same-origin" (chỉ cho phép yêu cầu các tài nguyên có cùng sơ đồ, tên máy chủ và số cổng) và "same-site" (chỉ cho phép các yêu cầu từ cùng một trang).

    Chính sách tài nguyên chéo: cùng một trang

  • Tiêu đề HTTP được bật theo mặc định Chính sách tính năng, cho phép bạn kiểm soát hoạt động của API và bật một số tính năng nhất định (ví dụ: bạn có thể vô hiệu hóa quyền truy cập vào API định vị địa lý, máy ảnh, micrô, toàn màn hình, tự động phát, phương tiện được mã hóa, hoạt ảnh, API thanh toán, chế độ XMLHttpRequest đồng bộ, vân vân.). Đối với khối iframe, thuộc tính “cho phép“, có thể được sử dụng trong mã trang để gán quyền cho các khối iframe nhất định.

    Chính sách tính năng: micrô 'không có'; định vị địa lý 'không có'

    Nếu một trang web cho phép, thông qua thuộc tính “allow”, hoạt động với tài nguyên cho một iframe cụ thể và nhận được yêu cầu từ iframe đó để có được quyền làm việc với tài nguyên này, thì trình duyệt hiện sẽ hiển thị hộp thoại để cấp quyền trong ngữ cảnh của trang chính và ủy quyền các quyền được người dùng xác nhận đối với iframe (thay vì xác nhận riêng cho iframe và trang chính). Tuy nhiên, nếu trang chính không có quyền đối với tài nguyên được yêu cầu thông qua thuộc tính allow thì iframe sẽ có quyền truy cập vào tài nguyên ngay lập tức bị chặn, mà không hiển thị hộp thoại cho người dùng.

  • Hỗ trợ các thuộc tính CSS 'được bật theo mặc định'văn bản-gạch chân-vị trí‘, xác định vị trí gạch chân của văn bản (ví dụ: khi hiển thị văn bản theo chiều dọc, bạn có thể sắp xếp gạch chân bên trái hoặc bên phải và khi hiển thị theo chiều ngang, không chỉ từ bên dưới mà còn từ trên cao). Ngoài ra, trong thuộc tính CSS kiểm soát kiểu gạch chân văn bản-gạch chân-bù đắp и văn bản-trang trí-độ dày Đã thêm hỗ trợ cho việc sử dụng giá trị phần trăm.
  • Trong thuộc tính CSS kiểu phác thảo, xác định kiểu đường xung quanh các phần tử, mặc định là "tự động" (trước đây tàn tật do sự cố trong Gnome).
  • Trong trình gỡ lỗi JavaScript thêm khả năng gỡ lỗi các Web Worker lồng nhau, việc thực thi chúng có thể bị tạm dừng và gỡ lỗi từng bước bằng cách sử dụng các điểm dừng.

    Bản phát hành Firefox 74

  • Giao diện kiểm tra trang web hiện cung cấp cảnh báo cho các thuộc tính CSS phụ thuộc vào các phần tử được định vị trên chỉ mục z, trên cùng, bên trái, dưới cùng và bên phải.
    Bản phát hành Firefox 74

  • Đối với Windows và macOS, khả năng nhập cấu hình từ trình duyệt Microsoft Edge dựa trên công cụ Chrome đã được triển khai.

Ngoài những cải tiến và sửa lỗi, Firefox 74 đã sửa 20 lỗ hổng, trong đó 10 (được thu thập theo CVE-2020-6814 и CVE-2020-6815) được gắn cờ là có khả năng dẫn đến việc thực thi mã của kẻ tấn công khi mở các trang được thiết kế đặc biệt. Hãy để chúng tôi nhắc bạn rằng các vấn đề về bộ nhớ, chẳng hạn như tràn bộ đệm và truy cập vào các vùng bộ nhớ đã được giải phóng, gần đây đã được đánh dấu là nguy hiểm nhưng không nghiêm trọng.

Nguồn: opennet.ru

Thêm một lời nhận xét