Компания исправила уязвимость «нулевого дня» для пользователей Google Chrome на канале Stable Desktop. Через день после того, как об ошибках безопасности сообщил Google, исправленные версии уже были предложены пользователям Windows (120.0.6099.129/130), Mac и Linux (120.0.6099.129).

В бюллетени безопасности сообщается:

Google известно, что в реальных атаках используется эксплойт для CVE-2023-7024.

Уязвимость обнаружена Клеманом Лецинем (Clement Lecigne) и Владом Столяровым из Группы анализа угроз Google (Threat Analysis Group, TAG). Основной задачей этого коллектива является защита клиентов Google от проправительственных атак.

TAG часто обнаруживает ошибки «нулевого дня», которые используются спонсируемыми правительством хакерами в таргетированных атаках, направленных на установку шпионского ПО на устройства особо опасных лиц, включая оппозиционных политиков, диссидентов и журналистов.

Несмотря на то, что распространение патча может занять несколько дней или недель, в большинстве случае исправление будет сразу доступно для установки.

Восьмая по счету уязвимость «нулевого дня», исправленная в этом году
Исправленная уязвимость с идентификатором CVE-2023-7024 получила высокий рейтинг опасности. Она связана с переполнением буфера кучи в фреймворке WebRTC с открытым исходным кодом. Многие другие браузеры, такие как Mozilla Firefox, Safari и Microsoft Edge, предоставляют возможности связи в реальном времени (RTC) (например, потоковое видео, обмен файлами и VoIP-телефония) через API JavaScript.

Хотя известно, что CVE-2023-7024 использовалась в реальных атаках, Google не сообщает подробности об инцидентах.

В сообщении Google отмечается:

Доступ к детальной информации об ошибке и ссылкам может быть ограничен до тех пор, пока большинство пользователей не получит исправление.

Мы также сохраним ограничения, если ошибка существует в сторонней библиотеке, от которой аналогичным образом зависят другие проекты, которые еще не исправлены.

Это делается для того, чтобы снизить вероятность разработки злоумышленниками собственных эксплойтов CVE-2023-7024, не позволяя им воспользоваться новой технической информацией.

Ранее Google исправила семь других уязвимостей «нулевого дня», которые использовались в атаках: CVE-2023-6345, CVE-2023-5217, CVE-2023-4863, CVE-2023-3079, CVE-2023-4762, CVE-2023-2136 и CVE-2023-2033.

Некоторые из них, например CVE-2023-4762, были помечены как ошибки «нулевого дня», используемые для установки шпионского ПО спустя несколько недель после выпуска патча.

В 2016 году компания Microsoft добавила в свою поисковую систему Bing новую функцию, которая позволяла проверить скорость своего интернет-соединения, просто введя запрос «speedtest». После этого появлялся виджет, который при активации предлагал информацию о скорости загрузки и выгрузки данных, а также о величине задержки при текущем подключении.

Теперь Microsoft отказалась от собственного теста скорости Интернета для Bing и перешла на виджет популярного сервиса Speedtest.net от компании Ookla.

Как и раньше, посетителям Bing нужно набрать запрос «проверить скорость интернета», чтобы на странице появился виджет от Ookla. Затем достаточно нажать на кнопку Начать в виджете, чтобы запустить тест скорости Ookla.

Как и виджет Microsoft, новый виджет Ookla Speedtest.net в Bing покажет вам текущую скорость загрузки и выгрузки данных, а также задержку. Вы можете повторить тест неограниченное количество раз, если хотите получить более точные данные о скорости интернет-провайдера. Тест будет полезен, если вы почувствуете, что скорость соединения не такая быстрая, как заявляет ваш провайдер.

Сервис Speedtest.net был запущен 2006 году. На сайте Ookla сообщается, что каждый день пользователи запускают более 18 миллионов уникальных тестов, а всего с момента запуска сервиса было создано более 51 миллиарда тестов. Компания использует более 16 000 серверов по всему миру для обработки всех этих тестов.

Кроме веб-сервиса, Ookla предлагает отдельные приложения Speedtest для Windows, Mac, ChromeOS, iOS, Android и даже Apple TV.

Несколько дней назад Microsoft выпустила Edge 121 Beta для финального тестирования перед релизом стабильной версии в конце следующего месяца. Одним из изменений новой версии является долгожданная поддержка изображений AVIF. Данный формат уже поддерживается Chrome, Safari, Firefox и другими конкурентами Edge.

Microsoft потребовалось немало времени, чтобы реализовать поддержку AVIF в Edge — первые упоминания этого формата в коде были замечены в феврале 2023 года. Для сравнения, Chrome стал поддерживать AVIF в 2020 году с выходом Chrome 85. Firefox получил поддержку AVIF в октябре 2021 года, а Safari присоединился в сентябре 2023 года в iOS 16, iPadOS 16 и macOS Ventura.

Формат AVIF был разработан НКО «Альянс за открытые медиа». Первоначальная спецификация увидела свет 19 февраля 2019 года. AVIF использует кодек AV1 и контейнер HEIF для повышения эффективности сжатия и улучшения качества изображения. Другими словами, изображения AVIF занимают меньше места на диске и отображают больше деталей с меньшим количеством артефактов. Windows 10 и Windows 11 поддерживают AVIF. Поддержка формата была впервые представлена в Windows 10, версия 1903, которая вышла в первой половине 2019 года.

Релиз Edge 121 запланирован на 25 января 2024 года. Среди других изменений новой версии — переработанный интерфейс обновлений, который переместился из настроек браузера в раздел Browser Essentials на боковой панели. Microsoft считает, это должно повысить доступность этого функционала.

19 декабря 2023 года организация Mozilla выпускает Firefox 121 и Firefox ESR 115.6. Это последний крупный релиз браузера в 2023 году. Новая версия браузера включает большое количество улучшений, например поддержку аппаратного декодирования AV1 в Windows, поддержку голосовых команд в системах macOS и переход на Wayland в Linux.

Обновления получили и другие каналы Firefox: Firefox Beta и Dev до версии 122, Firefox Nightly до версии 123. Также вышла версия Firefox 121 для Android.

Firefox 121: Что нового
Wayland Compositor используется по умолчанию в Linux
Firefox для Linux теперь по умолчанию использует Wayland Compositor вместо XWayland. Mozilla отмечает, что данное изменение «обеспечивает поддержку жестов для тачпада и сенсорного экрана, поддержку навигации свайпами, настройки DPI для каждого монитора, улучшенную производительность графики и многое другое».

Есть и некоторые ограничения, например окна режима «картинка в картинке» требуют дополнительного клика или настройки. По умолчанию такое окно не остается на переднем плане, и эта проблема активно обсуждается на Bugzilla.

Полная поддержка расширений в Firefox для Android
Firefox Stable для Android больше не ограничивается набором популярных расширений. Разработчики могут создавать расширения для мобильной версии Firefox, а все пользователи стабильной версии смогут их устанавливать.

Это важное событие для Firefox, которое может оказать положительное влияние на рост популярности браузера в долгосрочной перспективе. Сейчас на рынке это единственный крупный веб-браузер, который поддерживает расширения в мобильной версии.

Поддержка AV1 в Windows
Пользователи Firefox в системах Windows могут установить расширение AV1 от Microsoft, чтобы включить аппаратное декодирование. Для этого нужно зайти на страницу about:support, прокрутить ее вниз до раздела Медиа и нажать ссылку Установка расширений рядом с AV1.

В результате откроется страница Microsoft Store с расширением AV1 Video Extension. Установите расширение из магазина, чтобы добавить поддержку аппаратного декодирования в Firefox.

Перезапустите Firefox и проверьте раздел Медиа, чтобы убедиться, что аппаратное декодирование теперь поддерживается.

Аппаратное декодирование снижает нагрузку на процессор и может положительно сказаться на производительности.

Другие изменения и исправления
В системах macOS добавлена поддержка команд голосового управления. Эти команды позволяют пользователям macOS взаимодействовать с компьютером с помощью голоса. Например, вы можете сказать «прокрутить вниз» или «нажать готово», чтобы компьютер выполнил команду. На странице поддержки Apple можно найти информацию об этой функции.
В Firefox появилась новая опция Всегда подчеркивайте ссылки, которая будет подчеркивать все ссылки, встречающиеся в браузере.  Включить эту функцию можно в Настройки > Основные > Просмотр сети > Всегда подчеркивайте ссылки.
Новая плавающая кнопка в средстве просмотра PDF добавляет возможность удаления элементов из PDF-документов.

Улучшения для разработчиков
Добавлена поддержка «ленивой загрузки» iframes.
Свойство text-wrap пополнилось двумя новыми значениями.
Теперь поддерживается селектор :has().
CSS-свойство text-indent теперь поддерживает значения свойств each-line и hanging.
Добавлена поддержка метода Promise.withResolvers().
Метод Data.parse() был расширен для поддержки новых форматов дат.
Добавлена поддержка свойства sendOrder интерфейса WebTransportSendStream.
WebAssembly теперь поддерживает оптимизацию хвостовых вызовов с помощью новых альтернатив return_call и return_call_indirect для инструкции call.

Когда выйдет Firefox 122?
Релиз Firefox 122 и Firefox ESR 115.7 запланирован на 23 января 2024 года.