PaleMoon

[asa]

Автор браузера Pale Moon раскрыл сведения о компрометации сервера archive.palemoon.org, на котором хранился архив прошлых выпусков браузера до версии 27.6.2 включительно. В ходе взлома атакующие инфицировали вредоносным ПО все размещённые на сервере исполняемые файлы с инсталляторами Pale Moon для Windows. По предварительным данным подстановка вредоносного ПО была совершена ещё 27 декабря 2017 года, а выявлена только 9 июля 2019 года, т.е. полтора года оставалась незамеченной.

В настоящее время проблемный сервер отключен для проведения разбирательства. Сервер, с которого распространялись актуальные выпуски Pale Moon, не пострадал, проблема затрагивает только старые Windows-версии, установленные из архива (выпуски перемещаются в архив по мере выхода новых версий). Во время взлома сервер работал по управлением Windows и был запущен в виртуальной машине, арендованной у оператора Frantech/BuyVM. Какая именно уязвимость была эксплуатирована и специфична ли она для Windows или затрагивала какие-то запущенные сторонние серверные приложения пока не ясно.
После получения доступа атакующие выборочно инфицировали все exe-файлы, связанные с Pale Moon (инталляторы и самораспаковывающиеся архивы), троянским ПО Win32/ClipBanker.DY, нацеленным на кражу криптовалюты через подмену bitcoin-адресов в буфере обмена. Исполняемые файлы внутри архивов zip не поражены. Изменения в установщике могли быть выявлены пользователем при проверке прилагаемых к файлам цифровых подписей или хэшей SHA256. Используемое вредоносное ПО также успешно выявляется большинством актуальных антивирусов.

26 мая 2019 года в процессе активности на сервере злоумышленников (не ясно те же это атакующие, что при первом взломе или другие), нормальная работоспособность archive.palemoon.org была нарушена - хост не смог перезагрузиться, а данные были повреждены. В том числе были потеряны системные логи, которые могли включать более детальные следы, свидетельствующие о характере атаки. В момент данного сбоя администраторы не подозревали о компрометации и восстановили работу архива, используя новое окружение на основе CentOS и заменив загрузку через FTP на HTTP. Так как инцидент не был замечен, на новый сервер были перенесены файлы из резервной копии, которые уже были инфицированы.

Разбирая возможные причины компрометации предполагается, что атакующие получили доступ подобрав пароль к учётной записи персонала хостинга, получив прямой физический доступ к серверу, выполнив атаку на гипервизор для получения контроля за другими виртуальными машинами, взломав web-панель управления, перехватив сеанс удалённого обращения к рабочему столу (использовался протокол RDP) или эксплуатировав уязвимость в Windows Server. Вредоносные действия были произведены локально на сервере с использованием скрипта для внесения изменений в уже имеющиеся исполняемые файлы, а не путём их повторной загрузки извне.

Автор проекта уверяет, что только он имел доступ администратора в системе, доступ был ограничен одним IP-адресом, а базовая ОС Windows была обновлена и защищена от внешних атак. При этом для удалённого доступа использовались протоколы RDP и FTP, а также на виртуальной машине запускалось потенциально небезопасное ПО, что могло стать причиной взлома. Тем не менее, автор Pale Moon склоняется к версии, что взлом был совершён из-за недостаточной защиты инфраструктуры виртуальных машин у провайдера (например, в своё время через подбор ненадёжного пароля провайдера при помощи штатного интерфейса управления виртуализацией был взломан сайт OpenSSL).
https://www.opennet.ru/opennews/art.shtml?num=51071

[Sergei K.]

(28.6.0) Значок поменяли ...

Да вроде всё правильно. Ведь Pale Moon - Бледная Луна. Раньше значёк был синим, а теперь, как положено, стал наконец бледным.

[x230]

Релиз 28.6.1 (2019-07-25)
Примечания к выпуску
Это обновление безопасности и исправления ошибок.

● Улучшенная обработка загрузки ресурсов FTP (позволяет сохранять как и обслуживать некоторые просмотры на основе FTP).
● Добавлен параметр (security.block_ftp_subresources), позволяющий пользователям полностью обходить блокировку субресурсов FTP, если это требуется для их среды, если улучшения, сделанные в этом выпуске, недостаточны.
● По умолчанию добавлена ​​блокировка аутентифицированных заблокированных подисточников изображений с исходным изображением для предотвращения ложных запросов аутентификации.
Предпочтение (network.auth.subresource-http-img-XO-auth) было добавлено, чтобы позволить пользователям обходить эту блокировку, если это требуется для их среды.
● Изменено поведение файла: URI для обработки каждого URI как уникального источника. Это предотвращает кросс-файловый доступ от сценариев.
Предпочтение (security.fileuri.unique_origin) было добавлено, чтобы позволить пользователям ослабить это ограничение, если это требуется для их среды.
● Реализована пересмотренная версия http2PressedStream для решения некоторых проблем безопасности потоков.
● Согласованное поведение браузера с основным потоком относительно поведения внутреннего окна при манипулировании доменом.
● Отменено исправление 28.5. *, Которое вызывало множество проблем в пользовательском интерфейсе и веб-контенте.
● Обновлен NSS до 3.41.2 (по выбору), чтобы получить несколько исправлений для вышестоящих версий.
● Исправлена ​​ошибка путаницы типов в массивах JavaScript. (DiD)
● Добавлено исправление для межпоточного доступа Necko. (DiD)
● Добавлена ​​проверка безопасности порта для альтернативных сервисов.
● Внедрены исправления для применимых проблем безопасности: CVE-2019-11719, CVE-2019-11711, CVE-2019-11715, CVE-2019-11717, CVE-2019-11714 (DiD), CVE-2019-11729 (DiD), CVE -2019-11727 (DiD), CVE-2019-11730 (DiD), CVE-2019-11713 (DiD) и ряд угроз безопасности для сетей и памяти, которые не имеют номеров CVE.

[x230]

Релиз pale Moon 28.7.0
(2019-08-29)
Примечания к выпуску
Это серьезное обновление, включающее частичную перестройку и улучшение движка JavaScript, в котором реализовано несколько изменений, влияющих на веб-сайт. Следует отметить, что эти изменения следуют за некоторыми изменениями спецификаций (также принятыми основными браузерами), которые не обязательно обратно совместимы с веб-контентом, так как изменилось некоторое поведение сценариев. Если вы нацеливаетесь на Бледную Луну конкретно (например, через нюхание ), пожалуйста, проверьте и убедитесь, что поведение остается таким же, как и ожидалось.

● Добавлена ​​большая настройка JavaScript-парсера, которая в качестве целевой цели полностью приводит нашу строку ES6 в соответствие с ревизией ES2018 для классов и реализует параметры rest / spread для литералов объектов. (Ура Люку!)
● Исправлен сбой с настроенным парсером при появлении определенных сообщений об ошибках.
● Согласованное поведение браузера с основным потоком относительно поведения внутреннего окна при манипулировании доменом.
● Улучшена производительность при работе со свойствами кадра.
● Улучшена производительность для обработки строк HTML5.
● Улучшена производительность загрузки содержимого изображения.
● Исправлена ​​потенциальная путаница типов в соединениях массивов.
● Исправлена ​​проблема на некоторых страницах, вызывающая высокую загрузку ЦП при неправильном указании содержимого плагина.
● Исправлена ​​проблема с панелью «Обнаружение» диспетчера надстроек, если нет сетевого подключения.
● Исправлена ​​проблема с результатами поиска по закладкам / истории, предлагающими опции контекстного меню, которые были бы недействительными без выбора.
● Исправлено средство просмотра JSON devtools и включено по умолчанию.
● Исправлен поиск из about: home не работает для поисковых плагинов с использованием метода POST.
● Исправлена ​​проблема с флажками в настройках строки адреса.
● Исправлены проблемы с выравниванием SVG, если SVG-содержащие элементы попадают на нечетные пиксели, вызывая размытое отображение особенно небольших SVG, таких как значки / глифы.
● SVG теперь будут всегда с привязкой к пикселям, чтобы обеспечить ожидаемое четкое отображение.
● Исправлена ​​прекомпиляция клиентских модулей синхронизации при упаковке. Это также удаляет избыточные services.sync.enabled pref.
● Добавлена ​​поддержка контейнеров matroska и форматов webm видео на основе h264.
● Добавлена ​​поддержка аудио AAC в форматах matroska и webm.
● Добавлена ​​поддержка пробелов в пакете Mac и имени приложения.
● Добавлено исключение из уникальной политики происхождения файлов для типов шрифтов.
● Добавлена ​​встроенная поддержка выбора файлов для xdg в Linux.
● Обновлены значки закладок по умолчанию.
● Обновлена ​​библиотека SQLite до 3.29.0.
● Удалена информация о e10s: устранение неполадок.
● Удалены остатки исправлений.
● Удален инструмент разработчика WebIDE.
● Удалено условное отключение во время сборки кода состояния бледной Луны.
● Удалены ссылки «Удалить эту страницу» и «Забудьте об этом сайте» из живых закладок (поскольку они не имеют смысла в каналах).
● Удалено переопределение агента пользователя Polyfill в Financial Times, так как они обновили свое обнаружение для работы с Pale Moon.

[abulaev2008]

Не

pale Moon 28.7.0

не понравилось вовсе.
Все мелкое. И бледное. Старый старый хром лучше
а может я к нему привык?

[x230]

Все мелкое. И бледное.

смотря какую тему прикуртишь

[x230]

Релиз Pale Moon 28.7.1
(2019-09-12)
Примечания к выпуску
Это обновление для системы безопасности и исправления ошибок.

● Исправлена ошибка, из-за которой при сохранении веб-страницы на диск иногда удалялись теги из документа.
● Исправлена ошибка, из-за которой содержимое плагина, воспроизводимого по клику, отображало пустое уведомление.
● Исправлена ошибка в рендере, когда пересечения областей иногда возвращали неверный результат.
● Это исправляет регрессию, вызванную исправлением для CVE-2016-5252.
● Исправлены проблемы безопасности: CVE-2019-11744, CVE-2019-11752, CVE-2019-11737, CVE-2019-11746, CVE-2019-11750, CVE-2019-11747 и CVE-2019-11738.
● Обзор исправления безопасности для унифицированной платформы XUL Mozilla: 7 исправлено, 1 DiD, 1 уже покрыто, 22 не применимо.

[x230]

Релиз Pale Moon 28.7.2
(2019-10-29)
Примечания к выпуску
Это обновление для системы безопасности и исправления ошибок.

● По умолчанию отключено использование цветовых профилей ICC для изображений в Linux.
● Обновлены данные часового пояса для функций интернационализации.
● Исправлена ​​опция использования аппаратного ускорения по RDP для Windows 8.1 и 10.
● Исправлена ​​проблема с потенциальной утечкой навигации по внутреннему окну.
● Исправлена ​​ошибка запуска, вызванная Qihoo 360 Safeguard / 360 Total Security.
● Портировал некоторые исправления парсера экспатов из апстрима.
● В нашу сборку было перенесено несколько исправлений для NSS.
● Выровнял обработку U + 0000 в анализаторе html5 с ожиданиями.
● Добавлены проверки размера в буфере данных WebGL.
● Исправлены проблемы сборки с более новыми версиями glibc.
● Исправлены проблемы сборки для целей ARM.
● Обходил проблему с компилятором gcc9, которая мешала бы строить с ним.
● Исправлены ошибки Sec: CVE-2019-15903, CVE-2019-11757, CVE-2019-11763 и несколько потенциально уязвимых сбоев и угроз безопасности памяти, которые не имеют номера CVE.
● Обзор исправления безопасности для унифицированной платформы XUL Mozilla: 6 исправлено, 6 DiD, 1 отклонено, 24 не применимо.

[x230]

Релиз Pale Moon 28.8.0
(2019-12-10)
Примечания к выпуску

Это основной релиз разработки. Многие вещи были улучшены, некоторые знаковые функции были добавлены / включены, и многие библиотеки были обновлены для дополнительной стабильности и производительности.

● Добавлена ​​поддержка современных операционных систем Solaris, таких как Illumos (спасибо Athenian200!).
● Реализованная позиция: липкая для частей стола - теперь вы можете использовать CSS, например, придерживайтесь заголовков таблицы, чтобы они не прокручивались за пределы экрана!
● Включена базовая реализация скриптинга типа модуля. Хотя это и не полностью соответствует спецификациям (пока), это исправит несколько проблем совместимости веб-сайтов с сайтами, которые используют эту функцию без отступления (например, средство отслеживания ошибок Chromium).
● Реализовано Promise.prototype.finally () (ES2018).
● Реализован просмотр регулярных выражений (ES2018).
● Реализован флаг регулярного выражения / s (поддержка dotAll) (ES2018).
● Реализован String.prototype.matchAll (regex) (ES2020).
● Добавлен Ekoru в список поисковых систем по умолчанию. Это поисковая система, поддерживаемая Bing, которая жертвует большую часть своих доходов различным благотворительным организациям, которые поддерживают планету и животных. Экологически поддерживающая альтернатива Ecosia, если вы не хотите поддерживать Google в процессе.

● Изменен способ отображения таблиц, чтобы устранить ряд проблем со спецификацией соответствия и разрешить относительное расположение частей таблицы.
● Теперь сборка под Windows 10 SDK 10.0.17763.132 для повышения совместимости с Windows 10 и улучшения смягчения Spectre.
● Удален неиспользуемый компонент DiskSpaceWatcher.
● Обновлен код Cairo.
● Обновлен SQLite до 3.30.1.
● Обновлена ​​библиотека Brotli до версии 1.0.7.
● Обновлена ​​библиотека woff2 до 1.0.2.
● Обновлен OpenType Sanitizer до 8.0.0.
● Обновлена ​​математическая библиотека Javascript для исправления точности и производительности.
● Обновлен встроенный шрифт Emoji в соответствии с COLR-отображением twomoji 0.5.0 (Twemoji 12.1.3) в Mozilla для поддержки Emoji 12.
● Улучшен рендеринг CSS сетки.
● Изменена упаковка для архивов, чтобы использовать 7z / xz вместо zip / bz2.
● Сделан второй аргумент (DOM / CSS) insertRule () необязательным для (Chrome) веб-совместимости.
● Убраны нестандартные функции object.prototype.watch () / unwatch (). Обратите внимание, что это может повлиять на некоторые расширения; они должны быть обновлены, чтобы больше не использовать эти нестандартные функции.
● Исправлен модуль строки состояния, чтобы обойти проблему с использованием watch () / unwatch ().
● Исправлена ​​ошибка сборки в модуле libcubeb sndio.
● Исправлена ​​небольшая ошибка в ветке релиза, которая потенциально помечала бы файлы jnlp как исполняемые.
● Исправлена ​​логика получения сертификата в диалоге исключения сертификата.
● Исправлена ​​проблема с надстройками, которые могли запутаться во время обновления надстроек из-за кэшированных скриптов.
● Исправлен сбой из-за ненужных повторных вызовов в макете.
● Восстановлено упоминание количества ускоренных / полных окон в Информации об устранении неполадок для полноты.
● Перенес встроенный шрифт для Emoji из приложения в платформу, чтобы все приложения UXP могли легко извлечь из этого пользу (спасибо Тобин!).
● Очищен код jemalloc: удален мертвый / неиспользуемый код, удалены условные выражения вокруг «всегда включенного» кода и освобожден распределитель VLA.

● Удален тихий резерв для небезопасных мест установки в Windows.
● Pale Moon больше не будет по умолчанию устанавливаться в незащищенные места программы (это было регрессом в v28).
● Если ваша учетная запись операционной системы не имеет необходимых прав доступа, вам необходимо вручную выбрать доступную папку для установки. Это важно для предотвращения вредоносных программ от изменения установленных программ в известных, но в других случаях незащищенных местах установки.
● Добавлены и отключены запросы подтверждения для аутентификации URL (предотвращение злонамеренных ловушек).
● По умолчанию отключено использование HPKP из-за рисков, присущих этой функции. Предпочтение было добавлено, чтобы полностью отключить обработку заголовка, и использование предварительно загруженных выводов фактически отключено. Обратите внимание, что это автоматически отключается по умолчанию для всех, независимо от ваших предыдущих настроек этой функции, и настоятельно рекомендуется оставить эту функцию отключенной. HPKP в конечном итоге будет удален (общий интернет-консенсус).
● Исправлена ​​потенциальная проблема при взаимодействии с плагинами. (DiD)
● Исправлен сценарий возможного сбоя при чтении конфигурации PAC. (DiD)
● Исправлена ​​потенциальная проблема с выделением текста. (DiD)
● Исправлена ​​проблема с неправильным обновлением ссылок на элементы. (DiD)
● Исправлена ​​проблема с некорректным сохранением веб-страниц в виде текста. (DiD)
● Исправлена ​​потенциальная проблема с обработкой буфера обмена. (DiD)
● Исправлена ​​потенциальная проблема с подключением отладчика к веб-работникам. (DiD)
● Обновлен NSS до 3.41.4 для адресации CVE-2019-11756 и CVE-2019-11745.
● Унифицированный патч безопасности XUL для платформы Mozilla

DiD - означает, что исправлением является «глубокоэшелонированная защита»: это исправление, которое не применяется к (потенциально) активно эксплуатируемой уязвимости в Pale Moon, но предотвращает будущие уязвимости, вызванные тем же кодом, например, при изменении окружающего кода, выявлении проблемы или обнаружении новых векторов атак.

[x230]

Чегойта я поискал было по Сети расширение для Palemoon для скачивания с YouTube, но ничего нет, т.е. совсем!
Думаю, дай загяну в свои сусеки, и, о чудо!, нашел старенький extension: video_downloader_professional версии 1.97.37.
Работает однако корректно почти всегда (учитывая, что многие каналы закрывают свои видео от скачивания).
Если кому надобно, выкладываю архив с xpi-файлом.
...
Работа расширения:

[x230]

Релиз Pale Moon 28.8.1
(2020-01-11)
Примечания к выпуску

Это важный релиз безопасности и стабильности. Пожалуйста, обновите ваш браузер до этой версии как можно скорее.

● Исправлена проблема сэмплирования в libsoundtouch (DiD)
● Исправлена проблема с новой предстоящей функцией Windows 10, не поддерживающей режим приватного просмотра по умолчанию (DiD)
● Исправлено несколько проблем стабильности и безопасности памяти. (Сделал)
● Исправлена ошибка, из-за которой файлы могли непреднамеренно выполняться с помощью назначенного обработчика типа файла, а не открываться. (CVE-2019-17019)
● Исправлена проблема с JIT-компилятором JavaScript, которая могла приводить к возможным сбоям. (CVE-2019-17026) активно эксплуатируется
● Обзор исправления безопасности для унифицированной платформы XUL Mozilla: 2 исправлено, 7 DiD, 12 не применимо.

DiD - означает, что исправлением является «глубокоэшелонированная защита»: это исправление, которое не применяется к (потенциально) активно эксплуатируемой уязвимости в Pale Moon, но предотвращает будущие уязвимости, вызванные тем же кодом, например, при изменении окружающего кода, выявлении проблемы или обнаружении новых векторов атак.

[x230]

Релиз Pale Moon 28.8.2
(2020-01-28)
Примечания к выпуску
Это небольшое исправление и обновление совместимости.

● Отменено добавление обходных путей в регулярные выражения JavaScript, поскольку реализация вызывала сбои. Мы должны вернуться к этому позже.
● Исправлена ​​ошибка, из-за которой FTP-серверы зависали в браузере, если не отправляли ответы в соответствии со спецификацией протокола.
● Добавлен обходной путь для GitHub, который пытается внедрить больше Google-исмов (которые мы не поддерживаем в настоящее время) в браузеры, которые идентифицируются как «Firefox-подобные».
[/size]

[x230]

Релиз Pale Moon 28.8.2.1
(2020-02-04)
Примечания к выпуску

● Это небольшой релиз в ответ на то, что YouTube устарел из-за своего старого веб-интерфейса. Это изменение активирует новый интерфейс YouTube по умолчанию.

[x230]

Релиз Pale Moon 28.8.3
(2020-02-18)
Примечания к выпуску
Это исправление ошибок и релиз безопасности.

● Исправлена проблема в запросах блокировки CSP без порта для пользовательских схем.
● Исправлено потенциально опасное падение в слоях.
● Исправлены случайные сбои на некоторых сайтах с использованием IndexedDB.
● Изменен способ вызова приложения из командной строки, чтобы предотвратить целый класс потенциальных эксплойтов с участием модифицированных омниджаров.
● Если ваша среда с особыми потребностями требует, чтобы вы запускали браузер с пользовательскими browser/gre omnijars из командной строки, вы должны установить переменную среды UXP_CUSTOM_OMNI перед запуском с этого момента.
● Исправлена ошибка в html-парсере после использования тегов HTML5-шаблонов, позволяющая выполнять синтаксический анализ и выполнение JavaScript в тех случаях, когда это недопустимо, создавая риск XSS-уязвимостей на сайтах, зависящих от правильной работы браузера. (CVE-2020-6798)
● Обзор исправления безопасности для унифицированной платформы XUL Mozilla: 2 исправлено, 2 DiD, 10 не применимо.

[x230]

Релиз Pale Moon 28.9.0
(2020-03-24)
Примечания к выпуску
Это серьезное обновление для разработчиков.

● Реализованы асинхронные итераторы (await iterator.next () и для циклов await) (ES2018)
● Реализовано обещание воспроизведения мультимедиа.
● Реализованы нестандартные устаревшие функции правил CSSStyleSheet.
● Реализован элемент html5 <dialog>. Чтобы включить это, переверните dom.dialog_element.enabled в true.
● Реализовано необязательное скрытие закрепленных вкладок на панелях CtrlTab / AllTab. (управляется через настройки browser.ctrlTab.hidePinnedTabs и browser.allTabs.hidePinnedTabs)
● Добавлена скорость воспроизведения в 1,25 раза для HTML-элементов мультимедиа.
● Добавлен скрытый преф (browser.places.smartBookmarks.max) для контроля размеров категорий умных закладок по умолчанию.

● Выровнял document.open () с пересмотренной спецификацией.
● Выровнял способ, которым стили DOM вычислены с основным поведением браузера.
● Удалена (неиспользованная) реализация обещания DOM.
● Включен поиск следующего кадра в медиа-файлах.
● Включены динамические обновления UA для экстренного использования.
● Реализована заглушка для обработки правил для параметров шрифта-изменения.
● Увеличена максимальная глубина вложения XML до 2048 уровней для крайних угловых случаев и для консервативного выравнивания с другими браузерами.
● Улучшенная конфиденциальность вызовов поиска геолокации благодаря щедрому пожертвованию сервиса от ip-api.com
● Улучшена отчетность операционной системы в переопределениях пользовательских агентов для конкретного сайта.
● Снова улучшена производительность рисования таблицы после перезаписи для закрепления, замедляя ее.
● Обновлена обработка CSP, позволяющая указывать подстановочные знаки настраиваемой схемы без порта.
● Выровнял поведение контуров с другими браузерами при работе с CSS-репозиционированными элементами.
● Изменен способ управления аппаратным ускорением из приложения.
● Изменен моноширинный шрифт по умолчанию для основных языков с Courier New на Consolas.
● Это обеспечивает более сбалансированный шрифт для текста фиксированной ширины, который немного более сжат и более соответствует естественным компактным шрифтам переменной ширины, используемым везде.
● Изменено поведение браузера при восстановлении вкладок из предыдущих сессий. Чтобы предотвратить устаревание страниц, теперь он по умолчанию будет выполнять «мягкое обновление» страницы вместо того, чтобы извлекать ее из кеша без проверки необходимости обновления страницы. Если вы предпочитаете старое поведение, установите для browser.sessionstore.cache_behavior значение 0 в about: config.
● Обновил NSPR до 4.24 и NSS до ~ 3.48.1-RTM, удалив предыдущий пользовательский уровень патча, так что NSS теперь может поддерживать пользовательские раунды для DBM.
● Подробные примечания к выпуску со всеми изменениями NSS см. В разделе NSS_Releases.
● Реализована оптимизация производительности NSS для использования мастер-пароля с ограниченным эффектом.
● Исправлены некоторые возможные сценарии сбоев с WebGL в Linux.
● Полностью удален showModalDialog.
● Отключены некоторые входы в производственные сборки.
● Удалены различные гаджеты / избыточные / мертвые API DOM (кастинг / презентация, FlyWeb)
● Удалена поддержка ряда критически важных библиотек, поставляемых системой.
● Удалена кнопка «Копировать необработанные данные» со страницы информации об устранении неполадок, поскольку она никогда не использовалась нами в этом формате, и пользователи по ошибке продолжают использовать ее вместо копирования текста.
● Удалена куча кода поддержки Android и iOS.
● Исправлена проблема с неправильным отключением элементов формы.
● Исправлено несколько сбоев.
● Исправлена ошибка, из-за которой обнаружение Captive Portal иногда срабатывало даже при отключении пользователем.
● Выполнены различные очистки кода для всего дерева.
● Отменено большое исправление кода для устранения незначительных проблем в работе сайта (например, WordPress). Это должно быть пересмотрено позже; вновь введенный код не используется на практике.
● Убран код обновления приложения.

● Исправлена потенциальная проблема с указателем в кубе. DiD
● По соображениям безопасности отключено разрешение удаленного использования jar: URI по умолчанию. Если вам нужна эта функциональность для нестандартной среды, вы можете включить ее с настройкой network.jar.block-remote-files, но, пожалуйста, рассмотрите возможность отказа от этого метода предоставления веб-приложений.
● Удалена потенциально опасная и в противном случае неэффективная оптимизация из движка JavaScript.
● Исправлено нежелательное поведение, при котором созданные / сфокусированные всплывающие окна могли покрывать полноэкранное уведомление DOM, скрывая его от пользователей. (CVE-2020-6810)
● Исправлена ошибка, из-за которой при копировании данных в виде запроса скручивания из инструментов разработчика некорректно экранировались параметры. (CVE-2020-6811)
● Обновлен код нашей библиотеки sctp с несколькими исправлениями в исходной версии.
● Сводка исправлений безопасности для унифицированной платформы XUL Mozilla: 4 исправлено, 3 уже исправлено, 1 отклонено, 11 не применимо.

[x230]

Релиз Pale Moon 28.9.1
(2020-04-10)
Примечания к выпуску
Это незначительная версия безопасности и исправления ошибок.

● Повторно импортирован модуль ExtensionStorage js для использования расширениями браузера.
● Исправлена ошибка с модулем WebRequest, в котором были ошибочно не обработаны директивы сборки. Это могло бы привести к какой-то незаметной поломке.
● Удалено использование системных таймеров Windows с высоким разрешением из драйвера обновления макета; это должно помочь решить некоторые проблемы с производительностью и временем автономной работы.
● Исправлена ошибка, из-за которой различные части аппаратного ускорения не были должным образом связаны при изменении параметра из настроек.
● Если вы изменили параметр preferences на "Использовать аппаратное ускорение, когда оно доступно" между 28.9.0 и этим выпуском, рекомендуется перейти в раздел preferences и переключить параметр off/on на предпочтительную настройку, чтобы исправить любые расхождения.
● Исправлена ошибка при построении строки user-agent с использованием даты сборки в качестве идентификатора.
● Исправлена проблема с выпуском программы просмотра содержимого документов (CVE-2020-6819). DiD
● Исправлена проблема с обработкой функций с параметрами rest. DiD
● XUL единой платформы безопасности Mozilla патч резюме: глубокоэшелонированной защиты 2, 14 не применимо.

DiD - Это означает, что исправление является "глубокой защитой" ("Defense-in-Depth"): это исправление, которое не применяется к (потенциально) активно эксплуатируемой уязвимости в Pale Moon, но предотвращает будущие уязвимости, вызванные тем же самым кодом, например, при изменении окружающего кода, выявлении проблемы или обнаружении новых векторов атаки.

[Rousk]

Отличный браузер, всегда ставлю, единственное что на него мало расширений, но мне блокировщика рекламы хватает и благо темы к нему есть не плохие.

[x230]

Релиз Pale Moon 28.9.2
(2020-04-30)
Примечания к выпуску
Это небольшое обновление для обеспечения стабильности и совместимости.

● Чтобы избежать потенциальных проблем с производительностью и стабильностью, вызванных пока еще неполным и незавершенным кодом для новой вехи, обновите версию браузеров 28.9 на отдельной ветке разработки, которая исключает обширную работу, выполняемую для Вебкомпонентов Google.
● Включены временные метки высокого разрешения DOM для совместимости с веб-сайтами, которые строго полагаются на них для работы.
● Добавлено предпочтение, позволяющее копировать неэскапированный URL-адрес из адресной строки (особенно полезно для интернационализированных доменных имен и путей).
(Чтобы включить это, установите браузер.urlbar.декодируйте URL-адреса при копировании в true в about:config)
● Исправлено несколько сбоев приложений (спасибо, Fysac!)

[x230]

Релиз Pale Moon 28.10.0
(2020-06-05)
Примечания к выпуску
Это разработка, исправление ошибок и обновление системы безопасности.

● Реализована функция сортировки URLSearchParams ()
● Реализован ES2020 globalThis для веб-совместимости
● Улучшен наш WebM media parser, чтобы быть более терпимым к различным стилям кодирования.
● Улучшен наш MP3 media parser, чтобы быть более терпимым к различным стилям кодирования и особенно к крошечным файлам / потоковым фрагментам.
● Улучшена производительность рисования таблиц для большего количества угловых случаев
● Изменен способ обработки изображений без src в макетах страниц, чтобы они соответствовали спецификации Chrome-pushed.
● Добавлена современная поддержка MIPS
● Разделен файл данных ICU от xul.dll в Windows
● Исправлена регрессия в обработке канала WebAudio из-за ошибки безопасности приземления.
● Исправлена регрессия, мешающая сценарию правильно отключать элементы управления вводом
● Исправлена ошибка, из-за которой радиус границы иногда не учитывался в таблицах
● Исправлены некоторые проблемы сборки в нестандартных конфигурациях.
● Удален дополнительный код телеметрии
● Удален механизм распознавания речи в браузере и API
● Удалена поддержка устаревшего и не поддерживаемого стереоскопического интерфейса NVidia 3DVision.
● Изменена обработка пробелов Брайля в пользовательском интерфейсе (CVE-2020-12409).
● Смягчена потенциальная временная атака на ключи DSA в NSS (CVE-2020-12399)

● Единой платформе Mozilla XUL и исправлений безопасности резюме: 1 фиксированный, 1 глубокоэшелонированной защиты, 8 не применимо.

DiD - Это означает, что исправление является "глубокой защитой" ("Defense-in-Depth"): это исправление, которое не применяется к (потенциально) активно эксплуатируемой уязвимости в Pale Moon, но предотвращает будущие уязвимости, вызванные тем же самым кодом, например, при изменении окружающего кода, выявлении проблемы или обнаружении новых векторов атаки.

[x230]

Релиз Pale Moon 28.11.0
(2020-07-14)
Примечания к выпуску
Это разработка, исправление ошибок и обновление системы безопасности.

● Изменен формат хранения сертификатов и паролей для SQLite.
● Добавлена настройка (браузер.вкладки.insertAllAfterCurrent), чтобы всегда добавлять новые вкладки после текущей вкладки, независимо от того, связаны они или нет.
● Изменен способ отображения расширений Firefox в диспетчере надстроек (предоставьте четкое предупреждение).
● Запрещены другие типы дополнений, которые явно не нацелены на идентификатор бледной Луны.
● Улучшена осведомленность браузера о DPI для каждого монитора, а не для всей системы, в поддерживаемых операционных системах Windows.
● Обновлен код резервных копий закладок с другой половиной того, что должно было быть сделано давно, так что они работают полностью по назначению.
● Добавлена настройка (браузер.книжные закладки.editDialog.showForNewBookmarks), чтобы включить немедленное отображение диалогового окна редактирования для новых закладок.
● Если установлено значение true, щелчок по звездочке в адресной строке немедленно откроет диалоговое окно редактирования для изменения деталей / сортировки.
● Исправлена строка useragent в собственном режиме и обновлен код UA, чтобы правильно реагировать на живые изменения в некоторых настройках.
● Навел порядок в интерфейсном браузере JavaScript.
● Изменен способ компиляции источников (продолжающаяся де-унификация).
● Улучшенная совместимость с gcc v10
● Удалена поддержка устаревшего и не поддерживаемого стереоскопического интерфейса NVidia 3DVision.
● Исправлены некоторые ошибки сборки в нестандартных конфигурациях.
● Исправлены неправильные позиции при вычислении позиции для позиции: абсолютный ребенок внутри таблицы.
● Выровненное расширение имени файла сохраненных url-файлов с другими приложениями (нижний регистр)
● Исправлено построение с --disable-webspeech (для отключения синтеза речи)
● Добавлена поддержка глобального меню для GTK.
● Реализован узел.getRootNode
● Реализован AbortController (Abort API)
● Улучшен деинсталлятор, чтобы использовать возвышение, когда это разумно, и фактически удалять программные файлы.
● Исправлена редкая проблема с редактируемым содержимым страницы.
● Исправлена ошибка, связанная со скриптами модуля ES.
● Выровнял скрипты модуля ES лучше с текущей спецификацией и удалил нетерпеливое создание экземпляра.
● Исправлена потенциальная проблема с кодировщиком JPEG. (CVE-2020-12422) сделал
● Исправлена потенциальная проблема с манифестами AppCache. сделал
● Исправлена потенциальная ошибка при анализе даты JavaScript.
● Исправлена проблема с генерацией ключей RSA, которая делала бы его потенциально уязвимым для атак по боковым каналам. (ПНЭ-2020-12402)
● Исправлена потенциальная авария из-за состояния многопоточной гонки. сделал
● Исправлена ошибка корректности при обработке URL-адресов. (CVE-2020-12418) сделал
● Unified XUL Platform Mozilla Security Patch Summary: 2 исправлено, 4 углубленно защищено, 10 не применимо.