Во вторник Mozilla выпустила Firefox 74. Подождите, разве мы не получили новый Firefox минуту или две назад?
Возможно, так и будет. Firefox 74 появился всего через четыре недели после своего предшественника, продолжая темпы ускорения выпуска, обещанные в прошлом году.
Обновленный браузер прекратил поддержку устаревших криптографических протоколов TLS 1.0 и 1.1, заблокировал все надстройки «загрузка», за исключением того, что разрешено корпоративной групповой политикой и включает поддержку элемента заголовка, предназначенного для защиты от атак на основе аппаратных уязвимостей Meltdown и Spectre, впервые обнаруженных два года назад.
Инженеры по безопасности Mozilla также исправили дюжину уязвимостей, половина из которых помечена как «Высокая», вторая по серьезности метка угроз в Mozilla. Как обычно, некоторые из недостатков могут быть использованы преступниками.
«Мы предполагаем, что при достаточных усилиях некоторые из них могли быть использованы для запуска произвольного кода», — пишет фирма о двух ошибках. Два других были обнаружены и о них сообщили члены Google Project Zero, команды исследователей поисковой компании, которые выявляют исправленные ошибки в программном обеспечении Google и не Google.
Firefox 74 можно загрузить для Windows, macOS и Linux с Сайт Мозиллы. Поскольку Firefox обновляется в фоновом режиме, большинство пользователей могут просто перезапустить браузер, чтобы получить последнюю версию. Для обновления вручную в Windows откройте меню под тремя горизонтальными полосами в правом верхнем углу, затем щелкните значок справки (знак вопроса в кружке). Выберите «О Firefox». (В macOS «О Firefox» можно найти в меню «Firefox».) Полученная страница показывает, что браузер обновлен или описывает процесс обновления.
Это была первая версия Firefox. будет выпущен через четыре недели после того, как его предшественник — Mozilla последний раз обновил браузер 11 февраля. В сентябре 2019 года компания объявила, что она ускорит разработку и выпустит версию, сократив интервал между обновлениями с шести недель до первых пяти. , затем до четырех.
Содержание статьи
Попрощайтесь с TLS 1.0, 1.1
Как и ожидалось, Firefox 74 отключил устаревшие протоколы шифрования TLS (Transport Layer Security) 1.0 и 1.1. Когда пользователи пытаются подключиться к сайту, защищенному любой из версий TLS, Firefox теперь отображает страницу с ошибкой «Secure Connection Failed».
Но, как и в случае, когда Mozilla поставила Firefox 73, обновление этого месяца включало кнопку отмены, позволяющую пользователям временно включить TLS 1.0 и 1.1. Эта кнопка останется «на пару циклов выпуска», — сказал Крис Миллс, менеджер по контент-команде в Mozilla Developer Network, в сообщении от 10 марта в блоге компании. «Вы не сможете полагаться на это слишком долго», — также предупредил Миллс. («Пара циклов выпуска» может означать, скажем, Firefox 76, который будет заменен следующей версией 2 июня.)
Примечание. Устаревшая версия TLS 1.0 / 1.1 была результатом Совместное решение производителей четырех крупнейших браузеров (включая Apple, Safari; Google, Chrome; и Microsoft, Edge и Internet Explorer), принятое в 2018 году.
Сбой загрузки сайтов
Firefox 74 также положил конец sideloading термин, описывающий, как стороннее приложение устанавливает соответствующее дополнение в Firefox. (Одним из прошлых примеров была надстройка «Web Clipper», которую Evernote установил в браузерах, в том числе в Firefox.) Боковая загрузка, если не запрещена напрямую, безусловно, не одобрялась создателями браузеров, которые ссылались на проблемы безопасности в отношении этой практики.
В октябре 2019 года Mozilla заявила, что запретит боковую загрузку, отметив возможности вредоносных программ, а также отсутствие контроля со стороны пользователя; Загруженные надстройки были установлены без согласия пользователя и не могли быть удалены обычным способом перехода на портал Firefox's Add-ons Manager. В то время Mozilla выбрала Firefox 74 в качестве версии, в которой отсутствовала поддержка боковой загрузки.
Это произошло.
Теперь пользователям необходимо выполнить явное действие для установки дополнения с боковой загрузкой в Firefox — Известно, что он блокировал автоматическую загрузку установок и может удалять их из диспетчера дополнений. Дополнения, которые были загружены ранее, Mozilla не будет удалять (это нужно делать пользователям, если они захотят), но никакие новые загруженные дополнения браузера не будут допущены в Firefox 74.
Как и почти всегда в случае с Firefox, это изменение само по себе может помешать работе предприятия, если ИТ-персонал развернет соответствующие групповые политики для копий браузера сотрудников.
Более подробная информация о позиции Firefox 74 в отношении боковой загрузки может можно найти в этом сообщении Mozilla от 10 марта.
Повышает безопасность и конфиденциальность
В Mozilla включена поддержка заголовка «Cross-Origin Resource Policy» (CORP), который может использоваться разработчиками сайта. принять решение о защите от перекрестных запросов или запросов, поступающих из-за пределов домена самого веб-сайта.
Использование CORP может помочь защитить от таких атак, как Spectre и Meltdown, побочный канал, аппаратные средства. уязвимости, которые стали достоянием общественности в начале 2018 года и триггер При поддержке браузеров, разработчиков ОС и компании-производителя микросхем Intel были предприняты серьезные усилия по предоставлению исправлений.
Firefox 74 также нашел время, чтобы рекламировать созданный Mozilla контейнер Facebook, надстройку, которая блокирует социальную сеть и пользователя. взаимодействие с ним внутри отдельного контейнера или разделов памяти браузера. Все, что было сделано внутри контейнера, нельзя отследить за пределами контейнера; в результате Facebook не может отследить одного из своих пользователей, когда она переходит в другое место в Интернете.
Контейнер Facebook не нов: Mozilla запустила его почти два года назад. (Последняя версия теперь позволяет пользователям добавлять пользовательские сайты в список, чтобы учетные данные Facebook можно было использовать для входа на эти сайты.) Скорее, после установки Firefox 74 — или Firefox был обновлен до версии 74 — Mozilla использует возможность см. дополнение.
Контейнер Firefox также можно установить отсюда.
Следующая версия, Firefox 75, должна появиться 7 апреля.