Pale Moon 28.12.0 现已发布。PaleMoon 是一款基于 Firefox 浏览器优化而成的浏览器,它主要是为了提升 Firefox 的速度而设计,其中也添加了多种 Firefox 扩展,以使其更美观,功能更多。
此版本的更新内容如下:
Changes/fixes
- 在浏览器的首选项中添加了 WASM 控件,并且默认情况下启用。
- 启用了各种任意禁用的 CSS 功能。
- 在 CSS 剪辑路径中添加了对基本路径描述符(即多边形)的使用。
- 为 Abort API 实现了多线程请求信号处理。请参阅下面的实施说明。
- 更新了随附的美国英语词典,增加了大约 2500 个单词。
- 删除了 DOM 电池 API。由于隐私原因,该功能已被禁用很长时间了。
- 修复了在仅提供工具包的附件(例如提供的词典)上显示的错误警告。
- 修复了会话存储选项卡加载首选项的问题。
- 改进了下载文件名称的生成,以防止混淆。(CVE-2020-15658)
- 修复了 base64 数据编码的代码问题。
- 修复了 JavaScript 中的 2 个安全隐患。(一个是CVE-2020-15656)DiD
- 修复了有关脚本跨域加载的规范合规性问题。(CVE-2020-15652)
- 改进了 Windows 上系统 DLL 的加载,防止了低风险的劫持可能性。(CVE-2020-15657)请参阅实施说明。
- Unified XUL 平台 Mozilla 安全修补程序摘要:4 fixed、2 defense-in-depth、15 not applicable 。
Implementation notes
- 28.11.0 中引入了 Abort API 作为新代码。但它的实现仍然存在一个问题,即当在浏览器中实现 AbortSignal 时,尤其是 Web 工作者并不总是能在获取请求时看到中止信号的可用性。这有效地使某些网站(尤其是那些使用特定 Abort API 的 polyfill的网站,可以通过 Request.signal 来检测对 polyfill 的需求)抛出以前还可以的错误。开发团队为用户提供了一个变通的方法,通过偏好设置(dom.abortController.enabled)暂时禁用浏览器中的 AbortController。
v28.12.0 修复了信号的多线程处理,应该可以解决这些问题。因此,不再需要该变通方法,升级后将重新设置首选项以重新启用AbortControllers。 - 仅当恶意行为者已经获得对该程序安装文件夹的管理访问权限或以其他方式不受限制地访问该程序文件夹(通过将其安装在用户配置文件空间或其他不安全程序内的本地应用程序文件夹中)时,才可能在 Windows 上进行 DLL 劫持位置)。在这种情况下,系统已经受到威胁,任何可执行文件都可以被替换,因此劫持 dll 加载将是用户最不关心的问题(即,在这种情况下,主程序 .exe 也可以被替换/感染)。
更多详细信息可查看发布说明:https://www.palemoon.org/releasenotes.shtm