Une nouvelle version du navigateur Mozilla Firefox vient d'être mise en ligne. Il s'agit de la version 127.0 qui apporte plusieurs nouveautés et modfications comme on peut le voir ci-dessous.
Mozilla propose aujourd’hui au téléchargement la version stable de Firefox 127. Quelques nouveautés sont disponibles avec cette version, c’est l’occasion de les découvrir. Les nouveautés de Firefox 127 Vous pouvez maintenant paramétrer Firefox pour qu’il se lance automatiquement chaque fois que vous démarrez ou redémarrez votre PC Windows. …
Une nouvellle mise à jour du navigateur Firefox vient d'être publiée par la fondation Mozilla. La version 126.0.1 de FireFox est une mise à jour mineure qui apporte uniquement quelques correctifs.
Ces derniers mois l’actualité de Firefox a été traitée principalement dans les Liens : nous vous proposons ici un petit résumé des dernières évolutions du navigateur, à partir de ce qui a été publié sur le site ces dix derniers mois.
Fonctionnalités, performance et vie privée : le panda roux n’a pas été avare de nouveautés sur la période. Hélas, dans le même temps, la poursuite de la réduction de ses parts de marché est source d’inquiétudes.
La présentation de cette dépêche – non nécessairement exhaustive donc – respecte la chronologie des publications ; un commentaire adjoint précise le cas échéant l’importance de la nouveauté selon l’auteur de cette dépêche.
À noter que, dans cet intervalle, onze versions de Firefox ont été publiées (les 116 à 126). La période n’a pas vu de sortie de versions à support long terme ou ESR (la 115 étant la dernière ESR publiée tandis que l’on attend sa successeure, la 128 ESR). Via le calendrier de publication vous aurez accès aux notes de versions de chacune en deux clics (pour éviter les litiges de brevets).
Lien Tor Brower version 12. 5 : quoi de neuf ? posté par Maderios le 05/07/23. Parmi les nouveautés, une nouvelle interface facilitant la lecture du circuit effectué par le navigateur en rebond de pays en pays :
Par ailleurs Mozilla a étendu l’examen d’accessibilité pratiqué sur Firefox à Tor Browser ; la mise aux normes de Tor Browser s’étendra sur plusieurs versions.
Lien Firefox on Linux update - Martin Stransky's Blog posté par antistress le 07/07/23. Article technique où l’on cause accélération matérielle du décodage vidéo, adaptations pour Wayland, optimisations de compilation… ;
Lien Desktop Linux has a Firefox problem posté par tisaac le 13/08/23. Comme le résume abbe_sayday en commentaires du Lien : « Je me suis toujours demandé ce que ferait la communauté si Mozilla se cassait la gueule et qu’il n’y avait plus de Firefox. Est-ce que quelqu’un - Red Hat, Ubuntu, etc. - serait capable de reprendre le flambeau ? Est-ce qu’on finirait tous par utiliser Chrome ou un de ses dérivés libres (ex. Ungoogled Chromium) ou pas ? » ;
Lien Mozilla déploie Encrypted Client Hello pour chiffrer les adresses des sites visités posté par Colargol le 06/10/23. Il s’agit d’un mécanisme important pour protéger notre vie privée en ligne : suivre ce Lien et lire les liens donnés en commentaires pour en savoir plus, et voir le Lien ci-après à l’occasion de la sortie de la version 119 ;
Lien Une analyse financière de Mozilla posté par Renault le 10/10/23. Les commentaires sous le Lien permettent de pousser la discussion ;
Niché dans la dépêche Revue de presse de l’April pour la semaine 46 de l’année 2023 rédigée par echarp le 20/11/23, un lien vers un article de Clubic.com titré « Google a peur de Firefox, et on vous raconte pourquoi » dans lequel il nous est expliqué que Google a dû rétropédaler en partie sur le « Manifest V3 » ;
Lien Bim ! +450 extensions pour Firefox Android :) posté par antistress le 14/12/23 : les extensions de Firefox desktop peuvent dorénavant être installées sur la version mobile de Firefox ! ;
Niché dans la dépêche Revue de presse de l’April pour la semaine 2 de l’année 2024 rédigée par echarp le 15/01/24, un lien vers un article de ZDNet France titré « Firefox n’est définitivement plus une menace pour Google Chrome » : « Le navigateur de la fondation Mozilla ne cumule plus que 2,2 % de parts de marché » ;
Journal antistress adventure in Flatpak land rédigé par antistress le 30/04/24 : compte-rendu d’utilisation de la version Flatpak de Firefox au quotidien ;
Lien Firefox 126 est sortie : version mineure posté par antistress le même jour : la fonction « ouvrir l’adresse du presse-papier » introduite avec la version 125, bien pratique, est momentanément désactivée (problème de performances sous Windows) :
Lien [Auto promo] Ma configuration de Firefox à mi-2024 - Libre et ouvert posté par antistress le même jour : Jean-Baptiste Faure signale en commentaires que l’extension Decentraleyes semble abandonnée ; c’est à peu près le cas semble-t-il anéfé, et LocalCDN constitue un vaillant remplaçant + d’autres extensions discutées en commentaires du Lien : History Cleaner et Open Page in Private Window ;
Mozilla, par l’intermédiaire de son Community Manager, vient de lever le voile sur les prochaines fonctionnalités du Navigateur Firefox et des priorités de l’équipe de développement. Les maîtres-mots des améliorations à venir sont la productivité, la personnalisation, la simplicité et la performance. La feuille de route met aussi l’accent sur la compatibilité inter-navigateurs et l’utilisation de l’IA locale pour améliorer l’accessibilité et préserver la confidentialité des utilisateurs.
Côté productivité, notons du neuf du côté des onglets
Le regroupement d’onglets,
Les onglets verticaux
mais aussi un nouveau système de gestion des profils pour mieux séparer les contextes de navigations (par exemple scolaire, professionnel ou encore personnel) tout en les rendant facilement accessibles.
Pour la personnalisation, les fonds d’écran personnalisables à l’ouverture d’un nouvel onglet débarquent, comme ce qui se fait à la concurrence. Ceux qui comme moi utilisent des extensions de type Tabliss ne verront pas la différence.
Des paramètres de confidentialité qui se voudront plus intuitifs afin de mieux comprendre et utiliser les technologies anti-pistage du navigateur.
Une rationalisation des menus pour réduire l’encombrement visuel et donner la priorité aux principales actions de l’utilisateur.
L’Intelligence Artificielle (IA) est aussi de la partie, mais de manière prudente et mesurée. Dans les tuyaux, l’IA locale sera mise à l’épreuve pour améliorer l’accessibilité (génération de texte alternatif) tout en préservant la confidentialité des utilisateurs (au même titre que la fonctionnalité de traduction de site réalisée localement par exemple).
Sous le capot, l’équipe de développement veut encore accélérer le démarrage et le chargement des pages et économiser la batterie de nos précieux. Ils se targuent d’une amélioration des temps de réponse de 20% sur Speedometer 3. Ils travaillent aussi avec le projet Interop pour améliorer la compatibilité inter-navigateurs et faciliter la vie des développeurs web. C’est dans ce contexte qu’a été ajouté la fonctionnalité pour leur remonter facilement des sites qui dysfonctionnent.
Hic et nunc
Pour les plus impatients d’entre vous, certaines de ces nouvelles fonctionnalités sont déjà en cours de développement et peuvent être accédées via les canaux beta et nightly, en jouant éventuellement avec les entrées du about:config, avec tous les risques d’instabilité et de perte de données que cela comporte, vous êtes prévenus.
La bibliothèque JavaScript de visualisation de PDF développée par Mozilla, connue sous le nom de PDF.js, est au centre d’une nouvelle découverte de sécurité assez préoccupante ! Une faille dans le code de rendu des polices permet à un attaquant d’exécuter du JavaScript arbitraire simplement en ouvrant un PDF malveillant. Et attention, cela affecte toutes les applications utilisant PDF.js, y compris Firefox, certains éditeurs de code et navigateurs de fichiers. Aïe aïe aïe !
En gros, lorsque PDF.js affiche une police spéciale, il convertit la description des glyphes en instructions pour dessiner ces glyphes. Cependant, un hacker mal intentionné peut injecter son propre code dans la description de la police, résultant en l’exécution de ce code par le navigateur.
La vulnérabilité, estampillée CVE-2024-4367, repose donc sur une manipulation des commandes de rendu de polices. La commande transform utilisant fontMatrix est exploitée pour insérer du code JavaScript puis PDF.js compile dynamiquement les descriptions de polices pour optimiser les performances. Normalement, ce tableau contient uniquement des nombres, toutefois, cette faille permet d’y injecter des chaînes de caractères. Et en insérant du code JavaScript dans ce tableau, il est possible de déclencher du code lors du rendu d’une police.
Un exploit bien forgé permettrait diverses attaques telles que l’exécution de code arbitraire, le vol de données, ou même la prise de contrôle complète du système via des attaques XSS ou l’exécution de code natif. La vulnérabilité touche actuellement les versions de PDF.js inférieures à 4.2.67.
Selon les chercheurs de Codean Labs, cette vulnérabilité affecte non seulement les utilisateurs de Firefox (<126), mais également de nombreuses applications web et basées sur Electron utilisant indirectement PDF.js pour la fonctionnalité d’aperçu. Ils soulignent également que cette faille exploite une partie spécifique du code de rendu de la police, un segment que les développeurs devraient vérifier attentivement.
Bref, pensez à mettre à jour PDF.js vers une version supérieure à la 4.2.67 et à mettre à jour vos outils vers des version égales ou supérieures à Firefox 126, Firefox ESR 115.11 et Thunderbird 115.11.