Состоялся релиз web-браузера Firefox 148 и сформированы обновления прошлых веток с длительным сроком поддержки - 140.8.0 и 115.33.0 (последний в серии 115.x). В ближайшие часы на стадию бета-тестирования будет переведена ветка Firefox 149, релиз которой намечен на 24 марта.

Основные новшества в Firefox 148 (1, 2, 3):

• В настройки добавлена ранее обещанная секция "AI Controls" для управления использованием AI. Пользователь может разом отключить все функции AI или выборочно активировать только необходимую функциональность. Для выборочного отключения доступны такие возможности, завязанные на AI, как перевод на другой язык, распознание текста на изображениях и в отсканированных PDF-документах, рекомендации и метки при группировке вкладок, генерация краткого содержимого страницы при предпросмотре ссылок и интерфейс для обращения к чатботам. Каждая из функций может быть включена, деактивирована или блокирована. При блокировке локально устанавливаемые AI-модели удаляются, а элементы интерфейса скрываются.
• В настройки добавлена отдельная опция для включения внепланового удалённого применения исправлений и изменений в промежутке между релизами. Ранее данная возможность привязывалась к включению телеметрии и участию в тестировании экспериментальных возможностей (Privacy & Security" > "Firfox Data collection" > "Install and run studies"), но начиная с Firefox 148 может быть включена независимо от них.
• Фоновые изображения, выбранные для страницы, показываемой при открытии новой вкладки, теперь применяются как для новых вкладок по умолчанию, так и для новых вкладок контейнеров.
• Для пользователей Windows 10 и 11 добавлена функция Firefox Backup, позволяющая создавать резервные копии хранимых браузером данных, таких как закладки, настройки и пароли. В резервную копию не включаются данные, выбранные пользователем для очистки при закрытии браузера. Созданную резервную копию можно использовать для восстановления состояния после переустановки операционной системы или на другом компьютере.
  
  
  
• Обеспечена web-совместимость начального документа "about:blank", который теперь формируется синхронно и при начале навигации на странице не подменяется в асинхронном режиме вторым пустым документом, генерируемым парсером (из-за подобной подмены возникало состояние гонки, иногда приводившее к потере изменений, записанных через JavaScript сразу после вызова window.open()).
• В механизм Service worker добавлена поддержка API WebGPU, позволяющая запускать операции WebGPU в фоновом режиме, например, в дополнениях или при выполнении общих работ для разных вкладок одного сайта.
• В JavaScript добавлены методы Iterator.zip() и Iterator.zipKeyed() для объединения нескольких массивов. Методы позволяют на основе нескольких итераторов сформировать новый итератор, каждый элемент которого представляет собой массив или объект со значениями итераторов в той же позиции.

  
     const str1 = "abc";
     const str2 = "1234";
     const it = Iterator.zip([Iterator.from(str1), Iterator.from(str2)]);
     for (const [char1, char2] of it) {
       console.log(`${char1} - ${char2}`);
     }
     // Выведет:
     // a - 1
     // b - 2
     // c - 3
  
  
     const table = {
       name: ["Caroline", "Danielle", "Evelyn"],
       age:  [30, 25, 35],
       city: ["New York", "London", "Hong Kong"],
     };
  
     for (const { name, age, city } of Iterator.zipKeyed(table)) {
       console.log(`${name}, aged ${age}, lives in ${city}.`);
     }
  
     // Выведет:
     // Caroline, aged 30, lives in New York.
     // Danielle, aged 25, lives in London.
     // Evelyn, aged 35, lives in Hong Kong.
  

• Реализован API Trusted Types, развиваемый для защиты от манипуляций с DOM, приводящих к межсайтовому скриптингу (DOM XSS). Например, некорректная обработка полученных от пользователя данных в блоках eval() или вставках ".innerHTML" может привести к выполнению JavaScript-кода в контексте определённой страницы. Trusted Types требует применения специальных объектов TrustedHTML вместо голых сток в опасных вызовах, таких как element.innerHTML, document.write() и setTimeout(). В свою очередь объекты TrustedHTML создаются написанными разработчиком функциями, осуществляющими проверку и чистку данных.
• Добавлен API Sanitizer, предоставляющий методы для манипуляции HTML и вырезания из содержимого HTML-элементов, влияющих на отображение и исполнение. Для безопасной вставки HTML-содержимого предложен метод element.setHTML(), похожий на element.innerHTML, но защищающий от межсайтового скриптинга (XSS). Для безопасного разбора HTML реализован метод document.parseHTML(). API может быть полезен для чистки поступающих извне данных и вырезания из них HTML-тегов, которые могут использоваться для совершения XSS-атак.

  
     const unsanitizedString = "abc <script>alert(1)<" + "/script> def";
  
     const sanitizer1 = new Sanitizer({
       elements: ["div", "p", "button", "script"],
     });
     const target = document.getElementById("target");
     target.setHTML(unsanitizedString, { sanitizer: sanitizer1 });
  

• Добавлена поддержка свойства "location.ancestorOrigins", содержащего список источников (origin) всех родительских элементов документа, связанных с указанным объектом Location. На практике данное свойство может использоваться, например, для определения загрузки документа через iframe на другом сайте.
• А API Navigation добавлен объект NavigationPrecommitController с методом addHandler(), позволяющим подключить обработчик, срабатывающий при навигации на стадии "post-commit", когда новый URL уже показан в адресной строке.
• Добавлено CSS-свойство position-try-order, задающее приоритет выбора запасных позиций, когда элемент с якорным позиционированием не помещается на экране. Свойство входит в набор CSS Anchor Positioning, позволяющих управлять показом элементов, привязанных к местоположению других элементов, без использования JavaScript, например, для прикрепления к элементам всплывающих окон (popover), появляющихся по аналогии со всплывающими подсказками.
• В CSS добавлена функция shape(), позволяющая формировать фигуры с использованием CSS-свойств clip-path и offset-path. Функция shape() поддерживает команды формирования фигур, эквивалентные функции path(), но позволяет использовать для них стандартный синтаксис CSS.
• В версии Firefox для Android изменено оформление панели инструментов, улучшена настройка содержимого панели инструментов и добавлена опция для быстрого копирования видимого текста ссылки без открытия страницы.

Кроме новшеств и исправления ошибок в Firefox 148 устранено 60 уязвимостей (в 6 раз больше, чем в прошлом выпуске). 48 уязвимостей вызваны проблемами работы с памятью, такими как переполнения буферов и обращение к уже освобождённым областям памяти. Потенциально данные проблемы способны привести к выполнению кода злоумышленника при открытии специально оформленных страниц. 5 уязвимостей позволяют обойти sandbox-изоляцию из-за некорректной проверки границ и целочисленного переполнения в компоненте для работы с графикой.