Software-update: Pale Moon 29.4.2

Versie 29.4.2 van Pale Moon is uitgekomen. Deze webbrowser is ooit begonnen als een fork van Mozilla Firefox. Door optimalisaties voor moderne hardware en het weglaten van Accessibility features en Parental Controls presteerde hij toen een stuk beter. Ook was er een 64bit-versie beschikbaar, ruim voordat Mozilla deze zelf aanbood. Sinds Mozilla in versie 57 is overgestapt op Quantum, is er echter weinig meer dat de twee browsers nog verbindt.

Vlak voordat Mozilla met Quantum kwam, heeft het Pale Moon-ontwikkelteam de sourcetree van Firefox nog een keer geforkt en er de verbeteringen van Pale Moon aan toegevoegd. Zo is er bijvoorbeeld de lay-outengine Goanna, een fork van Gecko, waarvan nu de vierde generatie uit is. Daarnaast is er het Unified XUL Platform, dat kan worden beschouwd als een tegenhanger van het op Chromium gebaseerde Electron. De download van Pale Moon is alleen in het Engels; een apart Nederlands taalbestand is beschikbaar. In deze uitgave zijn de volgende verbeteringen aangebracht:

Changes/fixes:

• Fixed a spec compliance issue with IDN that could potentially cause confusion of domain names.
• Fixed several intermittent thread sanity issues. DiD
• Fixed a potential UAF risk in certain situations in networking. DiD
• Fixed a potential crash risk (not exposed). DiD
• Fixed a potential spoofing risk using form validation. (CVE-2021-38508)
• Fixed a script sandbox escape issue through XSLT. (CVE-2021-38503)
• Added a preference to enable compatibility mode with earlier TLS 1.3 specifications. See implementation notes.
• Unified XUL Platform Mozilla Security Patch Summary: 3 fixed, 1 already applied, 4 DiD, 7 not applicable.

Security notice:
If you have enabled HTTP Alternative Services for Opportunistic Encryption, it is strongly recommended you disable this at this time through Preferences -> Security -> Opportunistic Encryption -> Enable HTTP Alternative Services for Opportunistic Encryption. This inherently weak transitional technology for http -> https has been compromised and can be abused (partial opt-in bypass). Note that our platform default for this setting (and any other OE) is disabled due to these kinds of inherent risks, as well as lack of transparency about the connection and server contacted. See CVE-2021-38507 for more details about this problem.

Implementation notes:

A preference (security.ssl.enable_tls13_compat_mode) was added to allow users to enable TLS 1.3 compatibility mode that uses an older draft specification of the protocol. A restart of the browser is required when you change this preference. Please note that you should only use this option if you strictly require it for e.g. outdated proxies, load-balancers or middleware, as it potentially weakens your connection security.