Pale Moon 28.12.0 現已釋出。PaleMoon 是一款基於 Firefox 瀏覽器最佳化而成的瀏覽器,它主要是為了提升 Firefox 的速度而設計,其中也添加了多種 Firefox 擴充套件,以使其更美觀,功能更多。
此版本的更新內容如下:
Changes/fixes
- 在瀏覽器的首選項中添加了 WASM 控制元件,並且預設情況下啟用。
- 啟用了各種任意禁用的 CSS 功能。
- 在 CSS 剪輯路徑中添加了對基本路徑描述符(即多邊形)的使用。
- 為 Abort API 實現了多執行緒請求訊號處理。請參閱下面的實施說明。
- 更新了隨附的美國英語詞典,增加了大約 2500 個單詞。
- 刪除了 DOM 電池 API。由於隱私原因,該功能已被禁用很長時間了。
- 修復了在僅提供工具包的附件(例如提供的詞典)上顯示的錯誤警告。
- 修復了會話儲存選項卡載入首選項的問題。
- 改進了下載檔名稱的生成,以防止混淆。(CVE-2020-15658)
- 修復了 base64 資料編碼的程式碼問題。
- 修復了 JavaScript 中的 2 個安全隱患。(一個是CVE-2020-15656)DiD
- 修復了有關指令碼跨域載入的規範合規性問題。(CVE-2020-15652)
- 改進了 Windows 上系統 DLL 的載入,防止了低風險的劫持可能性。(CVE-2020-15657)請參閱實施說明。
- Unified XUL 平臺 Mozilla 安全修補程式摘要:4 fixed、2 defense-in-depth、15 not applicable 。
Implementation notes
- 28.11.0 中引入了 Abort API 作為新程式碼。但它的實現仍然存在一個問題,即當在瀏覽器中實現 AbortSignal 時,尤其是 Web 工作者並不總是能在獲取請求時看到中止訊號的可用性。這有效地使某些網站(尤其是那些使用特定 Abort API 的 polyfill的網站,可以透過 Request.signal 來檢測對 polyfill 的需求)丟擲以前還可以的錯誤。開發團隊為使用者提供了一個變通的方法,透過偏好設定(dom.abortController.enabled)暫時禁用瀏覽器中的 AbortController。
v28.12.0 修復了訊號的多執行緒處理,應該可以解決這些問題。因此,不再需要該變通方法,升級後將重新設定首選項以重新啟用AbortControllers。
- 僅當惡意行為者已經獲得對該程式安裝資料夾的管理訪問許可權或以其他方式不受限制地訪問該程式資料夾(透過將其安裝在使用者配置檔案空間或其他不安全程式內的本地應用程式資料夾中)時,才可能在 Windows 上進行 DLL 劫持位置)。在這種情況下,系統已經受到威脅,任何可執行檔案都可以被替換,因此劫持 dll 載入將是使用者最不關心的問題(即,在這種情況下,主程式 .exe 也可以被替換/感染)。
更多詳細資訊可檢視釋出說明:https://www.palemoon.org/releasenotes.shtm
