Pale Moon 34.1.0

Nieuwe functies

• Xoroshiro128++ JavaScript PRNG opnieuw geïmplementeerd om het robuuster te maken met behoud van hoge prestaties.
• Dit was eerder teruggedraaid vanwege intermitterende problemen en crashes.
• JavaScript SubmitEvent-ondersteuning voor HTML-formulieren geïmplementeerd.
• JavaScript requestSubmit() voor HTML-formulieren geïmplementeerd.
• JavaScript toSorted() geïmplementeerd.
• JavaScript toReversed() geïmplementeerd.
• Ondersteuning voor top-level await voor JavaScript-modules geïmplementeerd. Zie implementatieopmerkingen.
• CSS-mediaquery's voor pointers en hover geïmplementeerd.
• Hardwareversnelde decodering voor VP9-video's ingeschakeld (waar mogelijk).

Wijzigingen/fixes

• Onze expat-bibliotheekupdate opnieuw geïmplementeerd, met fixes voor het parseren van grote attributen.
• De JPEG-XL-bibliotheek bijgewerkt naar 0.11.2 om beveiligings- en prestatiefixes door te voeren, en een spot-fix toegepast voor big-endian hardware.
• Libtheora bijgewerkt naar 1.2.0.
• Libvpx is bijgewerkt naar 1.16.0 met verschillende fixes om compatibiliteit met oudere MacOS- en PowerPC-platforms te behouden.
• Pale Moon staat vanaf deze versie ongecodeerde websocket-verbindingen met localhost-adressen toe, zelfs wanneer het oproepende document gecodeerd werd aangeboden.
• Een probleem in de nieuwe Cascade Layers-implementatie dat problemen veroorzaakte met UI-elementen en extensies is opgelost.
• Verschillende problemen met de nieuwe ICU-bibliotheekimplementatie in UXP zijn opgelost:
• Een probleem opgelost waarbij onverwachte Unicode-spaties in datumstrings werden geretourneerd in plaats van standaardspaties, wat problemen veroorzaakte met webscripting.
• Een probleem opgelost met meervoudsvormen voor Shuar, Welsh en verschillende Slavische talen.
• Een probleem met letterpunten in het Litouws is opgelost.
• Een probleem met woordafbreking in het Tibetaans is opgelost.
• Een intermitterende browsercrash in verband met het verwijderen van gecachete afbeeldingsgegevens is opgelost en de afhandeling van afbeeldingsgegevens in de cache is in het algemeen verbeterd.
• De compatibiliteit met Mac op PowerPC-hardware is verder verbeterd.
• Ondersteuning voor bouwen op 32-bits MacOS 10.6 is hersteld.
• Diverse fixes toegepast voor bouwen op MacOS 10.5 (Leopard) en 10.6 (Snow Leopard).
• Problemen met runtime op FreeBSD 15.* opgelost.
• Probleem met het toepassen van afbeeldingsfilters op big-endian-hardware opgelost.
• Probleem opgelost waardoor gebundelde lettertypen niet goed werkten op andere doelen dan Windows of Linux-GTK.
• PerformanceObservers standaard ingeschakeld. Zie implementatieopmerkingen.
• Beveiligingsproblemen opgelost: CVE-2026-2806 (DiD), CVE-2026-2758, CVE-2026-2804, CVE-2026-2787 (DiD), CVE-2026-2757, CVE-2026-2773, CVE-2026-2779 (DiD), CVE-2026-2775 en verschillende andere die geen CVE-aanduiding hebben.

Implementatieopmerkingen

• Top-level await voor JavaScript-modules is geïmplementeerd. Hierdoor kan het await-sleutelwoord op het hoogste niveau worden gebruikt zonder een wrapper om pseudo-synchrone verwerking in asynchrone modules af te dwingen. Hiermee is de laatste mijlpaal van onze ES2022-compatibiliteit bereikt. Het ontbreken hiervan zou er met name toe leiden dat websites die bepaalde frameworks gebruiken volledig leeg worden weergegeven. Veel dank aan de beheerder van Basilisk voor het realiseren van deze implementatie voor UXP.
  
  
• PerformanceObservers is een op webontwikkeling gerichte API waarmee gedetailleerde timinggegevens van webpagina's kunnen worden geregistreerd. Hoewel deze API bedoeld is voor het opsporen van prestatieknelpunten en dergelijke door webontwikkelaars, wordt deze door steeds meer websites gebruikt in productiesites (voornamelijk voor analyse, maar in meer dan een paar gevallen ook voor basisfunctionaliteit van de websites). Pale Moon had de optie om ze indien nodig per geval in te schakelen (in Voorkeuren -> Privacy, het tabblad "Tracking"), maar ze bleven standaard uitgeschakeld vanwege de voor de hand liggende gevolgen voor de privacy als deze API voor alle sites beschikbaar zou zijn. Helaas is dit inmiddels zo'n groot probleem voor de webcompatibiliteit geworden dat we ze standaard hebben moeten inschakelen.

• De update van de expat-bibliotheek is teruggedraaid omdat deze geheugenoverbelasting en browserstoringen veroorzaakte bij XUL/XML- en SVG-bestanden met bijzonder grote attributen.
• De wijziging van de Javascript PRNG is teruggedraaid omdat deze intermitterende problemen en crashes veroorzaakte op 32-bits platforms.

voornamelijk bugfixes

Pale Moon 33.9.0.1 lijst met veranderingen:

• Dit is een kleine, kritieke update om problemen met de stabiliteit en bruikbaarheid van de browser aan te pakken als gevolg van de 33.9.0 wijzigingen in de X-Content-Type-Options: nosniff header parsing.
• Mac en FreeBSD volgen binnenkort als de beheerder de update heeft kunnen bouwen.

Changelog

• De manier waarop de focus van de adresbalk wordt afgehandeld bij het navigeren naar een fragment (#hash of anker) binnen een bestaande URL is gewijzigd. De pagina wordt nu op dezelfde manier opnieuw gefocust als bij een normale adresnavigatie (waarbij de status "bewerken" wordt gereset, tenzij de gebruiker actief aan het typen is).
• Ondersteuning geïmplementeerd voor de CSS-pseudoklasse :focus-visible.
• Een potentiële raceconditie in lettertype-tabellen opgelost. DiD
• Potentiële problemen met pthread toewijzingen opgelost. DiD
• Probleem opgelost in NSS met betrekking tot de PKCS12-decoder.
• Beveiligingsproblemen aangepakt: CVE-2025-9181 en verschillende andere die geen CVE-nummer hebben.

Aangepast :

• PWN2OWN-2025-1 (out of bounds lezen of schrijven in belofte) opgelost DiD
• PWN2OWN-2025-2 (out of bounds lezen of schrijven bij gebruik van de ExtractLinearSum-optimalisatie) opgelost DiD
• Mogelijk onverwacht gedrag in ingesloten protobuf-code opgelost. DiD
• Probleem opgelost met mogelijk niet-geïnitialiseerde contrastwaarden wanneer verbeterde contrastwaarden van het apparaat niet kunnen worden gelezen van de O.S. DiD
• Mogelijke sanitisatieproblemen opgelost met de functie "Kopiëren als curl" van devtools.
• Opgemerkt moet worden dat we momenteel geen cross-platform "curl" functies bieden, dus dit is een andere DiD voor deze release.