Pale Moon浏览器版本更新录(202x)
2025-02-10 17:07:52 
阿炯
Pale Moon 是一个可在多个平台运行的 Firefox 进行优化的版本,提升了性能,它针对页面浏览性能对的源码进行了调整,关闭一些特性。
本文系从Pale Moon的产品主页分离出来的,专门用于记录该软件的更新,截止到2029年12月31日。
最新版本:28.0
改进的处理帧属性的性能
JavaScript 引擎的改进
HTML 5 字符串处理性能的改进
图像内容加载性能的改进,更新默认书签图标
增加了对 Matroska 容器和基于 H 264 的 WebM 视频格式的支持
增加了对 Matroska 和 WebM 视频格式的 AAC 音频的支持
在 Linux 上增加了对 xdg 的本机文件选择器支持
将 SQLite 库更新为 3.29.0
从 about:troubleshooting 删除 E10S 信息及 WebIDE 开发工具
从活动书签中删除"Delete this page"和"Forget about this site"链接
修复了在触发某些错误消息时使用调优解析器代码造成的崩溃
修复了数组联接中的潜在类型混淆
当错误地指定插件内容时,导致某些页面上的 CPU 使用率过高的问题(已修复)
如果没有网络连接,则外接程序管理器"discover"窗格出现问题(已修复)
修复书签/历史搜索结果出现的问题,它提供的上下文菜单选项在没有选择的情况下是无效的
修复了 DevTools JSON 查看器,并在默认情况下启用了它
修复 about:home 中的搜索,不适用于使用 POST 方法的搜索插件,地址栏首选项复选框中的问题
如果包含 svg 的元素出现奇数像素大小,则 svg 对齐问题,导致特别小的 svg 图标/象形文字的模糊显示(已修复)
修复预编译同步客户端模块时包装,还删除了冗余的 services.sync. 支持的 pref
28.8.0 版本的更新内容如下:
添加了对现代 Solaris 操作系统(如 Illumos)的支持
实现 Promise.prototype.finally()
实现正则表达式后置
实现正则表达式/s 标志(dotAll 支持)
实现 String.prototype.matchAll(正则表达式)
将 Ekoru 添加到默认搜索引擎列表中。
......
更改/修复
更改了表格的呈现方式,以解决许多规格合规性问题并允许表格部件的相对位置
针对 Windows 10 SDK 10.0.17763.132 构建,以增强与 Windows 10 的兼容性并改善 Spectre 缓解
删除了未使用的 DiskSpaceWatcher 组件
已实现的异步迭代器(await iterator.next()和for await循环)(ES2018)
实现基于承诺的媒体播放和non-standard legacy CSSStyleSheet 规则函数
实现了 html5 <dialog>元素。要开启此功能,请切换dom.dialog_element.enabled至true
在 CtrlTab/AllTab 窗格中实现了固定选项卡的可选隐藏(通过首选项browser.ctrlTab.hidePinnedTabs 和控制browser.allTabs.hidePinnedTabs)
为 html 媒体元素增加了 1.25 倍的播放速度,添加了一个隐藏的首选项(browser.places.smartBookmarks.max),以控制默认智能书签类别的大小
更新了 Javascript 数学库以进行精度和性能修复
......
安全相关的修补程序
删除了 Windows 上不安全安装位置的无提示回退
默认情况下,Pale Moon 将不再安装到不受保护的程序位置(这是 v28 中的回归)
如果您的操作系统帐户没有必要的特权,则您需要手动选择要安装的可访问文件夹
添加了首选项,并禁用了 URL 身份验证的确认提示(防止恶意陷阱)
默认情况下禁用 HPKP与修复了与插件交互时的潜在问题
......
Windows 二进制文件都应再次进行正确的代码签名。只有在安装后没有使用内部更新程序更新浏览器的情况下,才可能出现卸载器问题。实际上,在网站上不使用 DOM Filesystem 和 dir picker API。官方表示,其已禁用了这些在 Web 上公开的 API,因为它们并非完全没有潜在风险,除非有明确的需要将它们保留为平台中的可选(不受支持)API,否则他们打算在以后的版本中将其删除。被拒绝的安全补丁程序之一涉及在地址栏中输入单个单词。在这种情况下,标准的浏览器行为是让浏览器对该单词进行常规的网络查找,以防它是 LAN 机器名称(其他浏览器也这样做),这可能会将用户输入的搜索词“泄漏”到 LAN 中。如果想避免这种情况,请始终使用搜索框输入网络搜索,因为在这种情况下处理单个单词是很明确的。
最新版本:30.0
30.0.0 现已于2022年3月中旬发布,这是一个新的里程碑版本。Pale Moon 正在放弃自己的 GUID(globally-unique identifier)并改用 Firefox 的 GUID,以提供与旧的和未维护的Firefox扩展的最大兼容性,以及那些在 add-ons site 上维护的扩展。在过去几个月中,平台代码已更改为更精简的版本;并且在此里程碑中 UXP 已发布给社区进行维护和协调,以便在需要的地方继续构建。“相反,我们现在正在构建 Goanna Runtime Environment(或简称 GRE),更加专注于 Goanna 渲染引擎并削减对不可维护组件和目标平台的支持”。由于源代码树中的大量内部更改,这些发行说明仅关注浏览器中有关实现、扩展和安全/错误修复的相关更改,并且绝不是详尽无遗的。更新内容如下:
实现了 Global Privacy Control,取代无法执行的“DNT”(Do Not Track)信号。注意:DNT preference 可能无法正确迁移到 GPC。如果需要,请仔细检查并手动启用。
首选项中的"Default browser"控制已移至"General"。
更新了对 Twemoji 13.1 的表情符号支持。
实现了 Selection.setBaseAndExtent(),以实现 web 兼容性。
实现了 queueMicroTask() 以 web 网络兼容。
Pale Moon 现在在内部使用 Firefox GUID 进行识别,这并不影响它在网络上的识别方式。
已恢复对旧版 Firefox 扩展的直接支持。需要更新 Pale Moon 独有的扩展,以在其安装清单中以及在适用的情况下,在其 JavaScript 组件和覆盖中以 Firefox GUID 为目标。
浏览器不再存在于“browser”分发子目录中。如果你是硬编码路径,则可能会受到影响。
appinfo.platformVersion为向后兼容而 frozen。如果需要检测平台版本,则应appinfo.greVersion 改为使用。
Themes:scrollbar-width现在映射到 scrollbar controls(bars、resizers 和 corner controls)上的属性,以便更好地支持 thin scrollbars 的主题。
Language packs:整个国际化结构发生了变化;因为这需要重新验证翻译,所以目前某些语言包中可能还有一些未翻译的字符串。
错误修复、稳定性和安全性:
更新了各种树内库:cubeb、sqlite、cairo、...
修复了 Linux 桌面快捷方式文件的问题,以解决常见发行版上潜在的 DE 集成问题。
修复了作为属性而不是 CSS 传递时页面和 iframe 内容边距未正确应用的问题。
确保 JavaScript 和 JSON 文件始终被识别为已知的 MIME 类型,因此可以从 local sources 适当地打开它们。
修复了快速加载和卸载 js 模块导致浏览器崩溃的问题。
修复了如果包含过长的可展开字符系列,工具提示在最后被切断的问题。
修复了几个应用程序崩溃场景。
修复了大量线程锁定/互斥锁问题。
修复了由于错误报告不一致而导致的内容类型泄漏(CVE-2022-22760)。
修复了 iframe 沙盒未正确应用的问题(CVE-2022-22759)。
如果导出的书签文件包含恶意书签,则修复了潜在的书签泄漏。
修复了拖放问题(CVE-2022-22756)。
修复了由于截断 WAV 文件而导致的潜在崩溃。
修复了 XSLT 的内存安全问题(CVE-2022-26485)。
更多详情请见更新说明。
最新版本:31.0
31.0.0 现已于2022年5月中旬发布,这是一个新的里程碑版本。官方公告指出,在无奈的召回 v30.0.0 和 30.0.1 版本之后,该开发团队的一名核心开发人员离开了;从而导致他们不得不倒带并重做几个月的工作,以排除不需要的代码更改以及可能是召回版本的大量稳定性和运行时间问题的根源。“我们重回正轨,在 UXP 和 Goanna (v5.1) 上构建了一个新的里程碑,其中包含许多改进和用户要求的附加功能。为了防止用户混淆,从 29 跳到 31”。此版本的重要变化如下:
再次接受在自己的 Pale Moon 独家扩展的同时安装旧版 Firefox 扩展。
实现了“optional chaining”。
为文本选择实现setBaseAndExtent。
实现了queueMicroTask()“pseudo-promise”回调。
在 Intersection observers 中实现了接受无单位的 rootMargin 值,以实现 Web 兼容性,使其更像人们所期望的 CSS margin。
在规范更改后改进了 CSS 网格和 flexbox 渲染和显示,并提高了 Web 兼容性。
改进了 JavaScript 中并行 Web 工作者的性能。
改进了草书字体的显示(在 Windows 上)。
更新了各种 in-tree libraries。
在通过 MSE (RFC-6381) 的媒体交付中添加了对扩展 VPx 编解码器字符串的支持。
修复了一个长期回归,即当直接在 HTML tags 而不是 CSS 中表示时,浏览器将不再支持旧样式的正文和 iframe 正文边距。这提高了与特别旧和/或存档网站的兼容性。
修复了几个崩溃和稳定性问题。
在 Windows 安装程序中添加了一个许可屏幕,以阐明浏览器的许可。在其他安装中,你可能会在浏览器安装位置中添加的 license.txt 文件中找到此许可声明。
删除了所有 Google SafeBrowsing/URLClassifier 服务代码。
恢复了平台中的 Mac OS X 代码和可构建性。
删除了非标准的ArchiveReaderDOM API,曾经只是原型实现。
从平台上删除了大部分侵入性 Mozilla 遥测代码的最后痕迹。这可能会提高某些系统的性能。
删除了剩余的 Electrolysis 控件。
删除了更多 Android/Fennec 代码(正在努力清理相关代码)。
删除了 Marionette 自动化测试框架。
解决的安全问题:CVE-2022-29915、CVE-2022-29911 和几个没有 CVE 编号的问题。
Unified XUL 平台 Mozilla 安全补丁摘要:4 fixed,1 DiD,19 not applicable。
31.3.0 现已于2022年9月下旬发布,这是一个主要的开发、错误修复和安全版本。具体更新内容如下:
在内置的 indexables(Array、String、TypedArray)上实现了 .at (index) JavaScript 方法。
在 worker 中实现了 EventSource 的使用。
在同源请求中默认启用了 Origin: header 的发送。
改变了 Pale Moon 的建造方式。现在在 Windows 上使用 Visual Studio 2022,并对构建系统进行了更改,以减少构建时间和所有平台上链接器的压力。
更改了 Pale Moon 处理独立波形音频文件 (.wav) 的方式。
改进的字符串规范化。
更新了对 CSS “支持” 的处理,现在接受 unparenthesized 字符串(规范更新)。
更新了网页中 flex 容器的处理以实现 Web 兼容性。
修复了为 Mac OS X 构建时的各种问题。
修复了源代码中的各种 C++ 标准一致性问题。
修复了正则表达式的 dotAll 语法和用法问题。
为谨慎起见,将自定义 hash map 切换为 std::unordered_map。
清理并更新了 IPC 线程锁定代码。
删除了表单控件中可访问性 focus rings 的间距,以使其样式与预期指标保持一致。
删除了平台非标准配置构建时不必要的控制模块。
从 min-content 和 max-content 的 CSS 关键字中删除了仍在使用的 - moz 前缀。
安全修复:CVE-2022-40956 和 CVE-2022-40958。
UXP Mozilla 安全补丁摘要:2 fixed, 11 not applicable。
如果独立打开(即不在页面中的 <media> HTML 元素内),Pale Moon 之前会将独立的波形音频文件 (.wav) 发送到系统配置的媒体播放器。这是由于历史上在 .wav 文件中使用了相当奇特的编解码器,而这些编解码器不会在浏览器中得到广泛支持。然而在今天,这已经不是什么大问题了。如果你希望保留旧的行为并将 .wav 文件发送到任何配置的系统媒体播放器,那么你应该在 about:config 中把 media.wave.play-stand-alone 的偏好设置为 false。
dotAll 正则表达式实现存在规范合规性问题,导致它无法正常工作。具体来说,使用 new RegExp() 构造函数不会接受 “s” 作为 flag,并且该.dotAll 属性没有正确大小写(全部小写)导致兼容性问题。
最新版本:32.0
第 32.2.0 现已于2023年5月中旬发布,这是一个开发版本,实现了 JavaScript 类字段、逻辑赋值运算符等多项新功能和改进。具体更新内容如下:
实施动态模块导入。
在模块中实现了异步函数的导出。
实现了 JavaScript 类字段。
实现了逻辑赋值运算符 ||=, &&= 和 ??=。
使用官方弃用的模糊 window.event 为网站实施解决方案,默认情况下禁用。
改进了 Shadow DOM :host 匹配。
实现了 WebComponents 的 CSS::slotted() 和相关功能。
改进了内存分配器中的页面缓存。
添加了对 FFmpeg 6.0 支持。
将 DOM 性能 API 更新为当前规范(用户计时 L3)。
更新按键事件处理以在 Ctrl+Enter 上发送按键事件。
更新了内部 JavaScript 结构,使未来的移植更容易,并提高了 JavaScript 性能。
更新了 Mac 上的窗口处理和样式。
将 Freetype 库更新为 2.13.0。
将 Harfbuzz 库更新到 7.1.0。
更新了 DNS 查找调用以使用 inet_ntoa() ,而不是使用弃用的 inet_ntop()。
更新了 Fetch API 以使用全局的基本 URL 而不是条目文档的基本 URL 以符合规范。
不再支持过时的 fontconfig GTK 系统。
不再解析或返回来自服务器的已知空响应的主体。
在 GTK 上实施缩放字体缓存,提高性能。
在 Windows 上将浏览器的更多部分拆分为单独的 .dll 文件,以减少编译器压力和超大的 xul.dll
删除了 mozilla::AlignedStorage(代码清理)。
FreeBSD 的构建现在使用 xz 代替 bzip2 进行打包,还为 FreeBSD 提供 GTK2 构建。
修复了 JPEG 解码的潜在 DoS 问题。
修复了 Windows 小部件代码中可能导致崩溃的潜在问题。
在 Windows 上禁用具有潜在危险的外部协议。
将已知有问题的 .dll 添加到内部阻止列表。
最新版本:33.0
33.0.0 已于2024年1月下旬发布。这是一个新的里程碑版本,涉及 250 多条提交,一些亮点更新内容如下:
新功能:
实现了异步剪贴板 API (navigator.clipboard) 的受限版本。仅出于明显的安全考虑,此 API 仅限于写入。它支持纯文本和标准数据传输方法。没有实现 ClipboardItem 对象的重新发明的轮子概念。
实现了对 OCSP stapled responses 的 SHA-2(SHA-256/SHA-512 / 等)签名的支持。
实现了一个选项(可在 Preferences -> Content -> Media tab (new this version) 中找到)将 DOM 全屏模式限制为现有浏览器窗口。
在新的首选项选项卡中实现了多个选项(Preference -> Privacy -> Tracking),以允许用户更轻松地控制多个影响隐私的功能,即 poisoning of canvas data(以防止指纹识别)和启用 Performance observers(开发者功能)。
实现 PromiseRejectionEvent。
修复:
根据当前规范和预期行为调整了 microtasks 和 Promises scheduling。
使用非主要按钮时,现在不再向文档层次结构的顶层发送 click 事件(而是使用 auxclick 捕捉这些事件)。
大大提高了 box shadows 的性能。
极大地提高了通过 HTTP/2(大多数安全网站)上传文件 / 数据的性能。
修复了与 focus 和 content selection 相关的几个问题。
修复了由于 DOM 事件的意外处理而导致的使用 focus-within 的问题。
修复了在使用 importScripts() 时 CSP 的行为与预期不符的问题,并修正了其他一些与 CSP 相关的问题。
修复了 CORS 预检不发送原始请求的引荐来源网址策略或引荐来源网址标头的 Web 兼容性问题。
修复了一个与 StructuredClone 规范兼容的问题。
修复了由于 SetInterval 和 SetTimeouttimers 引入的 clamping code 而导致的崩溃。
修复了取消动态导入(例如通过导航)时发生的崩溃。
其他变化:
根据规范更改和建议,更改 <input type=file> 的.files 属性为可写。
现在要求并根据 C++17 语言标准进行构建。
将 in-tree ffvpx lib 更新至 6.0。
添加了一个首选项,允许用户完全禁止向网站管理员报告 CSP 错误。官方强烈建议用户使用此选项,因为它将为设置 CSP 的网站管理员提供必要的故障排除信息,并且不会造成隐私问题。首选项是 security.csp.reporting.enabled.
更新了 IntersectionObserver 接口,现在还接受 observer root 的文档,而不仅仅是 HTML 元素。
清理了围绕 GMP、内存分配、系统库、残余 Android 代码、freetype2 和开发人员工具的各种代码。
提高了处理 D3D 纹理的效率。
添加了初始和实验性的 Mac PowerPC 和 Big Endian 支持。
更改了挂起脚本的行为。现在会自动终止它们,而不是向用户显示一个对话框(如果浏览器忙于处理挂起的脚本,可能会在合理的时间内显示对话框,也可能不会显示)。如果你更喜欢以前的设置,可通过 “首选项”->“内容”->“常规” 中的 “自动停止非响应脚本” 框取消选中。
已解决的安全问题:CVE-2024-0746、CVE-2024-0741、CVE-2024-0743 DiD、CVE-2024-0750 DiD 和 CVE-2024-0753。
UXP Mozilla 安全补丁摘要:3 fixed,2 DiD,12 not applicable。
v33.2 现已于2024年6月下旬发布,这是一个开发、稳定和安全版本。
新功能:
实现了 html5<dialog> 元素缺失的部分 ,包括模态处理和自定义背景。
为 canvas poisoning anti-fingerprinting 措施实现了更精细、用户可配置的粒度。
实现了新的 CSS viewport unitss svw, svh, svmin, svmax, lvw, lvh, lvmin, lvmax, dvw, dvh, dvmin 和 dvmax。
实现了新的 CSS logical viewport units vb, vi, svb, svi, lvb, lvi, dvb 和 dvi。
Changes/fixes:
删除了陈旧且完全过时的 FIPS 安全模块代码。
删除了用于在 DBM 格式文件中存储密码的过时 DBM 支持代码。
删除了 -moz-fit-content 中的 -moz 前缀,与当前的 CSS 标准 fit-content 值保持一致。
通过采用旧版 autoconf 2.13 的部分内容作为维护代码,更新了构建系统。
修复使用 GCC 14.* 和 Clang 16.* 构建时出现的问题。
修复了 emoji sequence clusters 在某些情况下导致 emoji 字形渲染不正确的问题。
为了实现 Web 兼容性,对旧版 XPathEvaluator/XPathExpression 接口的一些参数进行了可选修改。
修复报告 JavaScript 模块导出错误时发生崩溃的问题。
根据当前 RFC 6265 (bis-11+),更新了对特殊 cookie 前缀的检查,使其不区分大小写。
修复了外部协议处理程序的问题。
修复了在某些情况下自动完成弹出窗口保持打开状态的问题。
修复了用户在 “Save As...” 时可能输入错误文件名的问题。
修复了几处崩溃和 race conditions。
解决了的安全问题:CVE-2024-5699、CVE-2024-5702 DiD、CVE-2024-5690、CVE-2024-5698 DiD、CVE-2024-5688 DiD 、CVE-2024-5692 以及其他几个未分配 CVE 编号的安全问题(还有一些 DiD )。
Implementation notes:
创建了 canvas poisoning 的另一种实现方式,它仍然会提供人为无法察觉的 canvases 数据操纵,从而为跟踪器产生虚假哈希,但现在这种方式是,在一个较长但可变的时间框架内,该哈希值不会发生变化。在此版本中,此时间范围默认为 5 分钟,将来可能会根据需要进行调整,但用户也可通过首选项 canvas.poisondata.interval 在 1 秒到 8 小时之间配置(以秒为单位)。
v33.3 现已于2024年8月下旬发布,这是一次重大开发更新。此版本的重要说明:
从此版本开始,所有 64 位版本都要求处理器具备 AVX 功能。
对于 Linux 用户:从此版本开始,二进制文件将使用 gcc 11 在仍然 “conservative” 但更 “modern” 的构建平台 (Oracle Linux 8) 上构建。因此,如果用户出于某种原因仍在使用特别旧的发行版,则可能会出现一些库不兼容问题。
变更与修复:
实现了 CSS “cascade layers” 规范 (@layer{}) 的大部分内容。
实现了对 Sec-Fetch-* headers 的支持,实现了另一种处理站点安全性的机制。
增加了对 FFmpeg 7.0 /libavcodec 61 (Linux) 的支持。
现在将提前在 DNS 中查找主机,以使页面导航更加顺畅。
现在将阻止在非 Windows 操作系统上访问保留地址 0.0.0.0。
Dev:将 toFixed 相关函数的舍入行为和精度范围与规范保持一致。
重新实现了用于插件枚举的 Durstenfeld shuffle。
修复了因表情符号处理改进而导致的字符群(例如文本选择)问题。
修复了设置 DOM 颜色值的问题。
略微改进了密码表单处理,检测以前不支持的字段顺序。
将 NSS 更新至 3.90.4。
将表情符号字体更新至 15.1.2(Unicode 15.1 加上一些额外的附加功能 / 更新)。
Code cleanup:
删除了与 FoxEye 实验(未完成)相关的未使用代码。
删除了 LibAV 和(非常)旧版本 FFmpeg 的支持代码。从此版本开始(Linux),要求 libavcodec 58 或更高版本(FFmpeg 4.0+)。
删除了不再相关的 click event dispatching 代码。
清理 CSS 代码中的内部宏使用(这不会影响任何公开的 API 或代码)。
删除了隐藏的 network.dns.disablePrefetchFromHTTPS pref。DNS prefetching 不应对 http 和 https 进行不同的处理。
解决的安全问题:CVE-2024-7531。
2024年9月中旬发布v33.3.1解决了如下的问题:
取消了对 FFmpeg 7.0/libavcodec 61 (Linux) 的支持,因为它导致 WebAudio 出现严重退化(在所有平台上都无法使用)。
将 NotifyPaintEventinterface 限制为 chrome code only;没有理由(除了潜在的跟踪 / 指纹识别)从内容中访问它。
修复了 JavaScript ( FetchName) 中可能被利用的问题。
修复了创建沙箱时 XPConnect 中的代码正确性问题。
添加了使用外部处理的 usenet 协议的警告。
解决的安全问题:CVE-2024-8383 和 CVE-2024-8381。
v33.4.1 现已于2024年11月上旬发布,这是一个小的安全和错误修复更新。
为 Windows 的 64 位安装程序添加了处理器检查以检查 AVX。
注意:此检查不适用于 Windows 7/8/8.1,并且允许在非 AVX 处理器上进行安装。
注意:如果你运行的是版本 2004 之前的 Windows 10(20H1 之前),此检查可能会在支持 AVX 的 CPU 上失败并阻止安装。
改进了多部分 / 混合文档的处理(CVE-2024-10461 和 CVE-2016-2816)。
解决了 CVE-2024-10463。
v33.6.0现已于2025年2月中旬发布,这是一个开发、错误修复和安全版本。由于 CloudFlare 导致应用程序崩溃,因此此版本提前几天发布以优先解决此问题(应在此版本中修复)。值得注意的是,在发布此浏览器版本和发行说明时,尽管崩溃问题已得到修复,但 CloudFlare 仍通过其故障的 “安全检查” 或验证码拒绝基于 UXP 的浏览器以及其他几个独立/较小的浏览器访问许多网站,尽管这对受影响浏览器的用户而言是拒绝服务,但并未优先考虑实际修复该问题。建议考虑向 CloudFlare 以及受影响网站的所有者报告网站上任何和所有失败或循环的 CloudFlare 检查事件(可能必须暂时使用基于 Chromium 的浏览器来执行此操作)。
实现了针对 ADTS 和 raw AAC audio 的 content sniffer。
实现了 AbortSignal.abort() 和 stubAbortSignal.timeout()。
取消:modalCSS 伪类的前缀并将其用于内容。
提高了 Cycle Collector 的效率和性能。
添加了对 CSS HSL 中 S 和 L 组件的百分比值的明确预期检查。
更新了 cookie 存储数据库,不再使用 BaseDomain。
更新了 CSS 网格处理,当 flex 最大尺寸时不再应用自动最小尺寸 (browser parity)。
更新了内部信任库中的根证书。
更新了浏览器中的公共后缀列表 (eTLD)。
删除了不再指定的 URL Constructor(DOMString url, URL base)。
恢复非官方品牌标识(“New Moon” 而不是 “Browser”)。
将默认的 Firefox 兼容用户代理版本更改为 115.0。
修复了克隆 <audio> 或 <video> 元素不遵循原始元素 muted 状态的问题 。
克隆 <audio> 或 <video> 元素时不尊重原始元素静音状态的问题。
修复了 WebCrypto 中的许多错误和规范合规性问题。
修复安装程序应用程序命名问题导致无法检测正在运行的应用程序。
修复了由于运行时间过长而自动终止的脚本中存在 Interval 处理程序时发生崩溃的问题。
修复了当输入是虚假的(CloudFlare 触发的崩溃)时 JS Structured Cloning 中发生的崩溃。
修复了 XSLT 样式表导入代码中的崩溃。
将 NSS 更新至 3.90.6(自定义)以获取多个安全修复。
解决的安全问题:CVE-2025-1009。
将浏览器更新至此版本时,首次启动时将对浏览器配置文件中的 cookie 数据库进行单向升级。新的 cookie 数据库不向后兼容,这意味着你无法将此版本或更高版本升级的浏览器配置文件与任何早期版本的浏览器一起使用,否则会造成数据丢失。
通常情况如此,因为大多数用户数据存储升级都是单向的,但大多数人都希望避免无意中清除所有 cookie,因此发出此警告并提醒用户,任何(非次要)浏览器升级都可能发生配置文件迁移到较新版本的情况。v33.6.1 现已于2025年3月中旬发布,这是一个小的安全、错误修复和稳定性更新,部分更新如下:
简化了 Ion JIT 编译器中的一些 WASM 代码生成。
修复了加载外部 resource maps 时崩溃的问题。
禁用恢复 JIT 操作的潜在不安全尝试。
修复了 about:rights 中的一些小链接问题。
更新了嵌入的表情符号字体,以修复部分 wheelchair emoji 显示不正确的问题。
已解决的安全问题:CVE-2025-1934(DiD)。
v33.7.0 现已于2025年4月上旬发布,具体更新内容如下:
实现了 CSS two-location color stop logic。这允许在渐变中使用 two-location color stops (color x% y%),也就是 color x%, color y% 的简写,其中两种颜色相同。
现在构建的最低 GCC 版本要求是 9.1。
当 CSP blocks network 重定向时,改进了通道处理。
针对 CORS preflight requests 实施了几项修复。
在 CSP 内容加载中添加了明确的 javascript:scheme URL 白名单。
将 ffvpx 库更新至 6.0.1,这次可防止视频色彩范围回归。之前在 33.5.0 中已撤销对 6.0 的更新。
将 JPEG-XL 库更新至 0.11.1,以获取一些修复并提高 jxl 文件的解码兼容性。
将 SQLite 库更新至 3.49.1。
修复了 DOMRect 和 DOMQuad 在存在 NaN 时返回 0 的规范合规性问题。根据规范,现在在这种情况下返回 NaN。
修复了 NTLM 身份验证的规范合规性问题。现在根据规范使用证书签名的哈希算法计算 Channel Binding Hashes。
修复了 Mac 上使用 XCode 16.3 时出现的可构建性问题。
增加一些额外的 SharedArrayBuffers 安全检查。
对 XSLT 编译和转换添加了一些额外的安全检查。
仅限 Windows:添加偏好设置 widget.windows.follow_shortcuts_on_file_open 来控制 Windows 文件打开对话框如何处理快捷方式链接。
已解决的安全漏洞:CVE-2025-3028(DiD)和 CVE-2025-3033。
仅限 Windows:此版本引入了一个新的(numeric)首选项,用于控制 “Open File” 对话框如何处理文件系统中的快捷方式链接。
本文系从Pale Moon的产品主页分离出来的,专门用于记录该软件的更新,截止到2029年12月31日。
最新版本:28.0
改进的处理帧属性的性能
JavaScript 引擎的改进
HTML 5 字符串处理性能的改进
图像内容加载性能的改进,更新默认书签图标
增加了对 Matroska 容器和基于 H 264 的 WebM 视频格式的支持
增加了对 Matroska 和 WebM 视频格式的 AAC 音频的支持
在 Linux 上增加了对 xdg 的本机文件选择器支持
将 SQLite 库更新为 3.29.0
从 about:troubleshooting 删除 E10S 信息及 WebIDE 开发工具
从活动书签中删除"Delete this page"和"Forget about this site"链接
修复了在触发某些错误消息时使用调优解析器代码造成的崩溃
修复了数组联接中的潜在类型混淆
当错误地指定插件内容时,导致某些页面上的 CPU 使用率过高的问题(已修复)
如果没有网络连接,则外接程序管理器"discover"窗格出现问题(已修复)
修复书签/历史搜索结果出现的问题,它提供的上下文菜单选项在没有选择的情况下是无效的
修复了 DevTools JSON 查看器,并在默认情况下启用了它
修复 about:home 中的搜索,不适用于使用 POST 方法的搜索插件,地址栏首选项复选框中的问题
如果包含 svg 的元素出现奇数像素大小,则 svg 对齐问题,导致特别小的 svg 图标/象形文字的模糊显示(已修复)
修复预编译同步客户端模块时包装,还删除了冗余的 services.sync. 支持的 pref
28.8.0 版本的更新内容如下:
添加了对现代 Solaris 操作系统(如 Illumos)的支持
实现 Promise.prototype.finally()
实现正则表达式后置
实现正则表达式/s 标志(dotAll 支持)
实现 String.prototype.matchAll(正则表达式)
将 Ekoru 添加到默认搜索引擎列表中。
......
更改/修复
更改了表格的呈现方式,以解决许多规格合规性问题并允许表格部件的相对位置
针对 Windows 10 SDK 10.0.17763.132 构建,以增强与 Windows 10 的兼容性并改善 Spectre 缓解
删除了未使用的 DiskSpaceWatcher 组件
已实现的异步迭代器(await iterator.next()和for await循环)(ES2018)
实现基于承诺的媒体播放和non-standard legacy CSSStyleSheet 规则函数
实现了 html5 <dialog>元素。要开启此功能,请切换dom.dialog_element.enabled至true
在 CtrlTab/AllTab 窗格中实现了固定选项卡的可选隐藏(通过首选项browser.ctrlTab.hidePinnedTabs 和控制browser.allTabs.hidePinnedTabs)
为 html 媒体元素增加了 1.25 倍的播放速度,添加了一个隐藏的首选项(browser.places.smartBookmarks.max),以控制默认智能书签类别的大小
更新了 Javascript 数学库以进行精度和性能修复
......
安全相关的修补程序
删除了 Windows 上不安全安装位置的无提示回退
默认情况下,Pale Moon 将不再安装到不受保护的程序位置(这是 v28 中的回归)
如果您的操作系统帐户没有必要的特权,则您需要手动选择要安装的可访问文件夹
添加了首选项,并禁用了 URL 身份验证的确认提示(防止恶意陷阱)
默认情况下禁用 HPKP与修复了与插件交互时的潜在问题
......
Windows 二进制文件都应再次进行正确的代码签名。只有在安装后没有使用内部更新程序更新浏览器的情况下,才可能出现卸载器问题。实际上,在网站上不使用 DOM Filesystem 和 dir picker API。官方表示,其已禁用了这些在 Web 上公开的 API,因为它们并非完全没有潜在风险,除非有明确的需要将它们保留为平台中的可选(不受支持)API,否则他们打算在以后的版本中将其删除。被拒绝的安全补丁程序之一涉及在地址栏中输入单个单词。在这种情况下,标准的浏览器行为是让浏览器对该单词进行常规的网络查找,以防它是 LAN 机器名称(其他浏览器也这样做),这可能会将用户输入的搜索词“泄漏”到 LAN 中。如果想避免这种情况,请始终使用搜索框输入网络搜索,因为在这种情况下处理单个单词是很明确的。
最新版本:30.0
30.0.0 现已于2022年3月中旬发布,这是一个新的里程碑版本。Pale Moon 正在放弃自己的 GUID(globally-unique identifier)并改用 Firefox 的 GUID,以提供与旧的和未维护的Firefox扩展的最大兼容性,以及那些在 add-ons site 上维护的扩展。在过去几个月中,平台代码已更改为更精简的版本;并且在此里程碑中 UXP 已发布给社区进行维护和协调,以便在需要的地方继续构建。“相反,我们现在正在构建 Goanna Runtime Environment(或简称 GRE),更加专注于 Goanna 渲染引擎并削减对不可维护组件和目标平台的支持”。由于源代码树中的大量内部更改,这些发行说明仅关注浏览器中有关实现、扩展和安全/错误修复的相关更改,并且绝不是详尽无遗的。更新内容如下:
实现了 Global Privacy Control,取代无法执行的“DNT”(Do Not Track)信号。注意:DNT preference 可能无法正确迁移到 GPC。如果需要,请仔细检查并手动启用。
首选项中的"Default browser"控制已移至"General"。
更新了对 Twemoji 13.1 的表情符号支持。
实现了 Selection.setBaseAndExtent(),以实现 web 兼容性。
实现了 queueMicroTask() 以 web 网络兼容。
Pale Moon 现在在内部使用 Firefox GUID 进行识别,这并不影响它在网络上的识别方式。
已恢复对旧版 Firefox 扩展的直接支持。需要更新 Pale Moon 独有的扩展,以在其安装清单中以及在适用的情况下,在其 JavaScript 组件和覆盖中以 Firefox GUID 为目标。
浏览器不再存在于“browser”分发子目录中。如果你是硬编码路径,则可能会受到影响。
appinfo.platformVersion为向后兼容而 frozen。如果需要检测平台版本,则应appinfo.greVersion 改为使用。
Themes:scrollbar-width现在映射到 scrollbar controls(bars、resizers 和 corner controls)上的属性,以便更好地支持 thin scrollbars 的主题。
Language packs:整个国际化结构发生了变化;因为这需要重新验证翻译,所以目前某些语言包中可能还有一些未翻译的字符串。
错误修复、稳定性和安全性:
更新了各种树内库:cubeb、sqlite、cairo、...
修复了 Linux 桌面快捷方式文件的问题,以解决常见发行版上潜在的 DE 集成问题。
修复了作为属性而不是 CSS 传递时页面和 iframe 内容边距未正确应用的问题。
确保 JavaScript 和 JSON 文件始终被识别为已知的 MIME 类型,因此可以从 local sources 适当地打开它们。
修复了快速加载和卸载 js 模块导致浏览器崩溃的问题。
修复了如果包含过长的可展开字符系列,工具提示在最后被切断的问题。
修复了几个应用程序崩溃场景。
修复了大量线程锁定/互斥锁问题。
修复了由于错误报告不一致而导致的内容类型泄漏(CVE-2022-22760)。
修复了 iframe 沙盒未正确应用的问题(CVE-2022-22759)。
如果导出的书签文件包含恶意书签,则修复了潜在的书签泄漏。
修复了拖放问题(CVE-2022-22756)。
修复了由于截断 WAV 文件而导致的潜在崩溃。
修复了 XSLT 的内存安全问题(CVE-2022-26485)。
更多详情请见更新说明。
最新版本:31.0
31.0.0 现已于2022年5月中旬发布,这是一个新的里程碑版本。官方公告指出,在无奈的召回 v30.0.0 和 30.0.1 版本之后,该开发团队的一名核心开发人员离开了;从而导致他们不得不倒带并重做几个月的工作,以排除不需要的代码更改以及可能是召回版本的大量稳定性和运行时间问题的根源。“我们重回正轨,在 UXP 和 Goanna (v5.1) 上构建了一个新的里程碑,其中包含许多改进和用户要求的附加功能。为了防止用户混淆,从 29 跳到 31”。此版本的重要变化如下:
再次接受在自己的 Pale Moon 独家扩展的同时安装旧版 Firefox 扩展。
实现了“optional chaining”。
为文本选择实现setBaseAndExtent。
实现了queueMicroTask()“pseudo-promise”回调。
在 Intersection observers 中实现了接受无单位的 rootMargin 值,以实现 Web 兼容性,使其更像人们所期望的 CSS margin。
在规范更改后改进了 CSS 网格和 flexbox 渲染和显示,并提高了 Web 兼容性。
改进了 JavaScript 中并行 Web 工作者的性能。
改进了草书字体的显示(在 Windows 上)。
更新了各种 in-tree libraries。
在通过 MSE (RFC-6381) 的媒体交付中添加了对扩展 VPx 编解码器字符串的支持。
修复了一个长期回归,即当直接在 HTML tags 而不是 CSS 中表示时,浏览器将不再支持旧样式的正文和 iframe 正文边距。这提高了与特别旧和/或存档网站的兼容性。
修复了几个崩溃和稳定性问题。
在 Windows 安装程序中添加了一个许可屏幕,以阐明浏览器的许可。在其他安装中,你可能会在浏览器安装位置中添加的 license.txt 文件中找到此许可声明。
删除了所有 Google SafeBrowsing/URLClassifier 服务代码。
恢复了平台中的 Mac OS X 代码和可构建性。
删除了非标准的ArchiveReaderDOM API,曾经只是原型实现。
从平台上删除了大部分侵入性 Mozilla 遥测代码的最后痕迹。这可能会提高某些系统的性能。
删除了剩余的 Electrolysis 控件。
删除了更多 Android/Fennec 代码(正在努力清理相关代码)。
删除了 Marionette 自动化测试框架。
解决的安全问题:CVE-2022-29915、CVE-2022-29911 和几个没有 CVE 编号的问题。
Unified XUL 平台 Mozilla 安全补丁摘要:4 fixed,1 DiD,19 not applicable。
31.3.0 现已于2022年9月下旬发布,这是一个主要的开发、错误修复和安全版本。具体更新内容如下:
在内置的 indexables(Array、String、TypedArray)上实现了 .at (index) JavaScript 方法。
在 worker 中实现了 EventSource 的使用。
在同源请求中默认启用了 Origin: header 的发送。
改变了 Pale Moon 的建造方式。现在在 Windows 上使用 Visual Studio 2022,并对构建系统进行了更改,以减少构建时间和所有平台上链接器的压力。
更改了 Pale Moon 处理独立波形音频文件 (.wav) 的方式。
改进的字符串规范化。
更新了对 CSS “支持” 的处理,现在接受 unparenthesized 字符串(规范更新)。
更新了网页中 flex 容器的处理以实现 Web 兼容性。
修复了为 Mac OS X 构建时的各种问题。
修复了源代码中的各种 C++ 标准一致性问题。
修复了正则表达式的 dotAll 语法和用法问题。
为谨慎起见,将自定义 hash map 切换为 std::unordered_map。
清理并更新了 IPC 线程锁定代码。
删除了表单控件中可访问性 focus rings 的间距,以使其样式与预期指标保持一致。
删除了平台非标准配置构建时不必要的控制模块。
从 min-content 和 max-content 的 CSS 关键字中删除了仍在使用的 - moz 前缀。
安全修复:CVE-2022-40956 和 CVE-2022-40958。
UXP Mozilla 安全补丁摘要:2 fixed, 11 not applicable。
如果独立打开(即不在页面中的 <media> HTML 元素内),Pale Moon 之前会将独立的波形音频文件 (.wav) 发送到系统配置的媒体播放器。这是由于历史上在 .wav 文件中使用了相当奇特的编解码器,而这些编解码器不会在浏览器中得到广泛支持。然而在今天,这已经不是什么大问题了。如果你希望保留旧的行为并将 .wav 文件发送到任何配置的系统媒体播放器,那么你应该在 about:config 中把 media.wave.play-stand-alone 的偏好设置为 false。
dotAll 正则表达式实现存在规范合规性问题,导致它无法正常工作。具体来说,使用 new RegExp() 构造函数不会接受 “s” 作为 flag,并且该.dotAll 属性没有正确大小写(全部小写)导致兼容性问题。
最新版本:32.0
第 32.2.0 现已于2023年5月中旬发布,这是一个开发版本,实现了 JavaScript 类字段、逻辑赋值运算符等多项新功能和改进。具体更新内容如下:
实施动态模块导入。
在模块中实现了异步函数的导出。
实现了 JavaScript 类字段。
实现了逻辑赋值运算符 ||=, &&= 和 ??=。
使用官方弃用的模糊 window.event 为网站实施解决方案,默认情况下禁用。
改进了 Shadow DOM :host 匹配。
实现了 WebComponents 的 CSS::slotted() 和相关功能。
改进了内存分配器中的页面缓存。
添加了对 FFmpeg 6.0 支持。
将 DOM 性能 API 更新为当前规范(用户计时 L3)。
更新按键事件处理以在 Ctrl+Enter 上发送按键事件。
更新了内部 JavaScript 结构,使未来的移植更容易,并提高了 JavaScript 性能。
更新了 Mac 上的窗口处理和样式。
将 Freetype 库更新为 2.13.0。
将 Harfbuzz 库更新到 7.1.0。
更新了 DNS 查找调用以使用 inet_ntoa() ,而不是使用弃用的 inet_ntop()。
更新了 Fetch API 以使用全局的基本 URL 而不是条目文档的基本 URL 以符合规范。
不再支持过时的 fontconfig GTK 系统。
不再解析或返回来自服务器的已知空响应的主体。
在 GTK 上实施缩放字体缓存,提高性能。
在 Windows 上将浏览器的更多部分拆分为单独的 .dll 文件,以减少编译器压力和超大的 xul.dll
删除了 mozilla::AlignedStorage(代码清理)。
FreeBSD 的构建现在使用 xz 代替 bzip2 进行打包,还为 FreeBSD 提供 GTK2 构建。
修复了 JPEG 解码的潜在 DoS 问题。
修复了 Windows 小部件代码中可能导致崩溃的潜在问题。
在 Windows 上禁用具有潜在危险的外部协议。
将已知有问题的 .dll 添加到内部阻止列表。
最新版本:33.0
33.0.0 已于2024年1月下旬发布。这是一个新的里程碑版本,涉及 250 多条提交,一些亮点更新内容如下:
新功能:
实现了异步剪贴板 API (navigator.clipboard) 的受限版本。仅出于明显的安全考虑,此 API 仅限于写入。它支持纯文本和标准数据传输方法。没有实现 ClipboardItem 对象的重新发明的轮子概念。
实现了对 OCSP stapled responses 的 SHA-2(SHA-256/SHA-512 / 等)签名的支持。
实现了一个选项(可在 Preferences -> Content -> Media tab (new this version) 中找到)将 DOM 全屏模式限制为现有浏览器窗口。
在新的首选项选项卡中实现了多个选项(Preference -> Privacy -> Tracking),以允许用户更轻松地控制多个影响隐私的功能,即 poisoning of canvas data(以防止指纹识别)和启用 Performance observers(开发者功能)。
实现 PromiseRejectionEvent。
修复:
根据当前规范和预期行为调整了 microtasks 和 Promises scheduling。
使用非主要按钮时,现在不再向文档层次结构的顶层发送 click 事件(而是使用 auxclick 捕捉这些事件)。
大大提高了 box shadows 的性能。
极大地提高了通过 HTTP/2(大多数安全网站)上传文件 / 数据的性能。
修复了与 focus 和 content selection 相关的几个问题。
修复了由于 DOM 事件的意外处理而导致的使用 focus-within 的问题。
修复了在使用 importScripts() 时 CSP 的行为与预期不符的问题,并修正了其他一些与 CSP 相关的问题。
修复了 CORS 预检不发送原始请求的引荐来源网址策略或引荐来源网址标头的 Web 兼容性问题。
修复了一个与 StructuredClone 规范兼容的问题。
修复了由于 SetInterval 和 SetTimeouttimers 引入的 clamping code 而导致的崩溃。
修复了取消动态导入(例如通过导航)时发生的崩溃。
其他变化:
根据规范更改和建议,更改 <input type=file> 的.files 属性为可写。
现在要求并根据 C++17 语言标准进行构建。
将 in-tree ffvpx lib 更新至 6.0。
添加了一个首选项,允许用户完全禁止向网站管理员报告 CSP 错误。官方强烈建议用户使用此选项,因为它将为设置 CSP 的网站管理员提供必要的故障排除信息,并且不会造成隐私问题。首选项是 security.csp.reporting.enabled.
更新了 IntersectionObserver 接口,现在还接受 observer root 的文档,而不仅仅是 HTML 元素。
清理了围绕 GMP、内存分配、系统库、残余 Android 代码、freetype2 和开发人员工具的各种代码。
提高了处理 D3D 纹理的效率。
添加了初始和实验性的 Mac PowerPC 和 Big Endian 支持。
更改了挂起脚本的行为。现在会自动终止它们,而不是向用户显示一个对话框(如果浏览器忙于处理挂起的脚本,可能会在合理的时间内显示对话框,也可能不会显示)。如果你更喜欢以前的设置,可通过 “首选项”->“内容”->“常规” 中的 “自动停止非响应脚本” 框取消选中。
已解决的安全问题:CVE-2024-0746、CVE-2024-0741、CVE-2024-0743 DiD、CVE-2024-0750 DiD 和 CVE-2024-0753。
UXP Mozilla 安全补丁摘要:3 fixed,2 DiD,12 not applicable。
v33.2 现已于2024年6月下旬发布,这是一个开发、稳定和安全版本。
新功能:
实现了 html5<dialog> 元素缺失的部分 ,包括模态处理和自定义背景。
为 canvas poisoning anti-fingerprinting 措施实现了更精细、用户可配置的粒度。
实现了新的 CSS viewport unitss svw, svh, svmin, svmax, lvw, lvh, lvmin, lvmax, dvw, dvh, dvmin 和 dvmax。
实现了新的 CSS logical viewport units vb, vi, svb, svi, lvb, lvi, dvb 和 dvi。
Changes/fixes:
删除了陈旧且完全过时的 FIPS 安全模块代码。
删除了用于在 DBM 格式文件中存储密码的过时 DBM 支持代码。
删除了 -moz-fit-content 中的 -moz 前缀,与当前的 CSS 标准 fit-content 值保持一致。
通过采用旧版 autoconf 2.13 的部分内容作为维护代码,更新了构建系统。
修复使用 GCC 14.* 和 Clang 16.* 构建时出现的问题。
修复了 emoji sequence clusters 在某些情况下导致 emoji 字形渲染不正确的问题。
为了实现 Web 兼容性,对旧版 XPathEvaluator/XPathExpression 接口的一些参数进行了可选修改。
修复报告 JavaScript 模块导出错误时发生崩溃的问题。
根据当前 RFC 6265 (bis-11+),更新了对特殊 cookie 前缀的检查,使其不区分大小写。
修复了外部协议处理程序的问题。
修复了在某些情况下自动完成弹出窗口保持打开状态的问题。
修复了用户在 “Save As...” 时可能输入错误文件名的问题。
修复了几处崩溃和 race conditions。
解决了的安全问题:CVE-2024-5699、CVE-2024-5702 DiD、CVE-2024-5690、CVE-2024-5698 DiD、CVE-2024-5688 DiD 、CVE-2024-5692 以及其他几个未分配 CVE 编号的安全问题(还有一些 DiD )。
Implementation notes:
创建了 canvas poisoning 的另一种实现方式,它仍然会提供人为无法察觉的 canvases 数据操纵,从而为跟踪器产生虚假哈希,但现在这种方式是,在一个较长但可变的时间框架内,该哈希值不会发生变化。在此版本中,此时间范围默认为 5 分钟,将来可能会根据需要进行调整,但用户也可通过首选项 canvas.poisondata.interval 在 1 秒到 8 小时之间配置(以秒为单位)。
v33.3 现已于2024年8月下旬发布,这是一次重大开发更新。此版本的重要说明:
从此版本开始,所有 64 位版本都要求处理器具备 AVX 功能。
对于 Linux 用户:从此版本开始,二进制文件将使用 gcc 11 在仍然 “conservative” 但更 “modern” 的构建平台 (Oracle Linux 8) 上构建。因此,如果用户出于某种原因仍在使用特别旧的发行版,则可能会出现一些库不兼容问题。
变更与修复:
实现了 CSS “cascade layers” 规范 (@layer{}) 的大部分内容。
实现了对 Sec-Fetch-* headers 的支持,实现了另一种处理站点安全性的机制。
增加了对 FFmpeg 7.0 /libavcodec 61 (Linux) 的支持。
现在将提前在 DNS 中查找主机,以使页面导航更加顺畅。
现在将阻止在非 Windows 操作系统上访问保留地址 0.0.0.0。
Dev:将 toFixed 相关函数的舍入行为和精度范围与规范保持一致。
重新实现了用于插件枚举的 Durstenfeld shuffle。
修复了因表情符号处理改进而导致的字符群(例如文本选择)问题。
修复了设置 DOM 颜色值的问题。
略微改进了密码表单处理,检测以前不支持的字段顺序。
将 NSS 更新至 3.90.4。
将表情符号字体更新至 15.1.2(Unicode 15.1 加上一些额外的附加功能 / 更新)。
Code cleanup:
删除了与 FoxEye 实验(未完成)相关的未使用代码。
删除了 LibAV 和(非常)旧版本 FFmpeg 的支持代码。从此版本开始(Linux),要求 libavcodec 58 或更高版本(FFmpeg 4.0+)。
删除了不再相关的 click event dispatching 代码。
清理 CSS 代码中的内部宏使用(这不会影响任何公开的 API 或代码)。
删除了隐藏的 network.dns.disablePrefetchFromHTTPS pref。DNS prefetching 不应对 http 和 https 进行不同的处理。
解决的安全问题:CVE-2024-7531。
2024年9月中旬发布v33.3.1解决了如下的问题:
取消了对 FFmpeg 7.0/libavcodec 61 (Linux) 的支持,因为它导致 WebAudio 出现严重退化(在所有平台上都无法使用)。
将 NotifyPaintEventinterface 限制为 chrome code only;没有理由(除了潜在的跟踪 / 指纹识别)从内容中访问它。
修复了 JavaScript ( FetchName) 中可能被利用的问题。
修复了创建沙箱时 XPConnect 中的代码正确性问题。
添加了使用外部处理的 usenet 协议的警告。
解决的安全问题:CVE-2024-8383 和 CVE-2024-8381。
v33.4.1 现已于2024年11月上旬发布,这是一个小的安全和错误修复更新。
为 Windows 的 64 位安装程序添加了处理器检查以检查 AVX。
注意:此检查不适用于 Windows 7/8/8.1,并且允许在非 AVX 处理器上进行安装。
注意:如果你运行的是版本 2004 之前的 Windows 10(20H1 之前),此检查可能会在支持 AVX 的 CPU 上失败并阻止安装。
改进了多部分 / 混合文档的处理(CVE-2024-10461 和 CVE-2016-2816)。
解决了 CVE-2024-10463。
v33.6.0现已于2025年2月中旬发布,这是一个开发、错误修复和安全版本。由于 CloudFlare 导致应用程序崩溃,因此此版本提前几天发布以优先解决此问题(应在此版本中修复)。值得注意的是,在发布此浏览器版本和发行说明时,尽管崩溃问题已得到修复,但 CloudFlare 仍通过其故障的 “安全检查” 或验证码拒绝基于 UXP 的浏览器以及其他几个独立/较小的浏览器访问许多网站,尽管这对受影响浏览器的用户而言是拒绝服务,但并未优先考虑实际修复该问题。建议考虑向 CloudFlare 以及受影响网站的所有者报告网站上任何和所有失败或循环的 CloudFlare 检查事件(可能必须暂时使用基于 Chromium 的浏览器来执行此操作)。
实现了针对 ADTS 和 raw AAC audio 的 content sniffer。
实现了 AbortSignal.abort() 和 stubAbortSignal.timeout()。
取消:modalCSS 伪类的前缀并将其用于内容。
提高了 Cycle Collector 的效率和性能。
添加了对 CSS HSL 中 S 和 L 组件的百分比值的明确预期检查。
更新了 cookie 存储数据库,不再使用 BaseDomain。
更新了 CSS 网格处理,当 flex 最大尺寸时不再应用自动最小尺寸 (browser parity)。
更新了内部信任库中的根证书。
更新了浏览器中的公共后缀列表 (eTLD)。
删除了不再指定的 URL Constructor(DOMString url, URL base)。
恢复非官方品牌标识(“New Moon” 而不是 “Browser”)。
将默认的 Firefox 兼容用户代理版本更改为 115.0。
修复了克隆 <audio> 或 <video> 元素不遵循原始元素 muted 状态的问题 。
克隆 <audio> 或 <video> 元素时不尊重原始元素静音状态的问题。
修复了 WebCrypto 中的许多错误和规范合规性问题。
修复安装程序应用程序命名问题导致无法检测正在运行的应用程序。
修复了由于运行时间过长而自动终止的脚本中存在 Interval 处理程序时发生崩溃的问题。
修复了当输入是虚假的(CloudFlare 触发的崩溃)时 JS Structured Cloning 中发生的崩溃。
修复了 XSLT 样式表导入代码中的崩溃。
将 NSS 更新至 3.90.6(自定义)以获取多个安全修复。
解决的安全问题:CVE-2025-1009。
将浏览器更新至此版本时,首次启动时将对浏览器配置文件中的 cookie 数据库进行单向升级。新的 cookie 数据库不向后兼容,这意味着你无法将此版本或更高版本升级的浏览器配置文件与任何早期版本的浏览器一起使用,否则会造成数据丢失。
通常情况如此,因为大多数用户数据存储升级都是单向的,但大多数人都希望避免无意中清除所有 cookie,因此发出此警告并提醒用户,任何(非次要)浏览器升级都可能发生配置文件迁移到较新版本的情况。v33.6.1 现已于2025年3月中旬发布,这是一个小的安全、错误修复和稳定性更新,部分更新如下:
简化了 Ion JIT 编译器中的一些 WASM 代码生成。
修复了加载外部 resource maps 时崩溃的问题。
禁用恢复 JIT 操作的潜在不安全尝试。
修复了 about:rights 中的一些小链接问题。
更新了嵌入的表情符号字体,以修复部分 wheelchair emoji 显示不正确的问题。
已解决的安全问题:CVE-2025-1934(DiD)。
v33.7.0 现已于2025年4月上旬发布,具体更新内容如下:
实现了 CSS two-location color stop logic。这允许在渐变中使用 two-location color stops (color x% y%),也就是 color x%, color y% 的简写,其中两种颜色相同。
现在构建的最低 GCC 版本要求是 9.1。
当 CSP blocks network 重定向时,改进了通道处理。
针对 CORS preflight requests 实施了几项修复。
在 CSP 内容加载中添加了明确的 javascript:scheme URL 白名单。
将 ffvpx 库更新至 6.0.1,这次可防止视频色彩范围回归。之前在 33.5.0 中已撤销对 6.0 的更新。
将 JPEG-XL 库更新至 0.11.1,以获取一些修复并提高 jxl 文件的解码兼容性。
将 SQLite 库更新至 3.49.1。
修复了 DOMRect 和 DOMQuad 在存在 NaN 时返回 0 的规范合规性问题。根据规范,现在在这种情况下返回 NaN。
修复了 NTLM 身份验证的规范合规性问题。现在根据规范使用证书签名的哈希算法计算 Channel Binding Hashes。
修复了 Mac 上使用 XCode 16.3 时出现的可构建性问题。
增加一些额外的 SharedArrayBuffers 安全检查。
对 XSLT 编译和转换添加了一些额外的安全检查。
仅限 Windows:添加偏好设置 widget.windows.follow_shortcuts_on_file_open 来控制 Windows 文件打开对话框如何处理快捷方式链接。
已解决的安全漏洞:CVE-2025-3028(DiD)和 CVE-2025-3033。
仅限 Windows:此版本引入了一个新的(numeric)首选项,用于控制 “Open File” 对话框如何处理文件系统中的快捷方式链接。