Mozilla ประกาศออกรุ่นย่อย Firefox 72.0.1 และรุ่น ESR 68.4.1 หลังได้รับรายงานช่องโหว่ CVE-2019-17026 จากทีมงาน Qihoo 360 และพบว่ามีการโจมตีช่องโหว่นี้แล้ว โดยเป็นการโจมตีอย่างเจาะจง

รายละเอียดช่องโหว่ยังไม่เปิดเผยต่อสาธารณะ แต่ทาง Mozilla ก็ระบุว่าเป็นช่องโหว่ของ IonMonkey JIT ที่เปิดทางให้โจมตีแบบ type confusion ได้ โดยช่องโหว่มีผลกระทบระดับวิกฤติ

Firefox 72 เพิ่งออกมาวันเดียวเท่านั้น หากใครกำลังอัพเดตก็ควรอัพเดตไปตัวล่าสุดเลยทีเดียว

ที่มา - Firefox

มอซิลล่าประกาศ Firefox 72 ตามรอบ โดยมีฟีเจอร์สำคัญคือบล็อคการติดตามผู้ใช้แบบ fingerprint ซึ่งหมายถึงการติดตามโดยที่ไม่ได้ใช้กลไกตามปกติ เช่น cookie แต่กลับอาศัยข้อมูลอื่น เช่น เวอร์ชั่นเบราว์เซอร์, ขนาดหน้าจอ, ระบบปฎิบัติการ

โดเมนที่ถูกตรวจสอบว่าพยายามติดตามผู้ใช้ด้วยเทคนิค fingerprint จะถูกใส่ไว้ในรายชื่อแบน เว็บเหล่านี้จะไม่สามารถรันจาวาสคริปต์เพื่อรับรู้ข้อมูลของผู้ใช้, การโหลดข้อมูลจะไม่ส่ง User-Agent ไปให้, และเบราว์เซอร์จะปิดบังแม้แต่หมายเลขไอพีของผู้ใช้

Mozilla สั่งถอดส่วนขยาย Firefox ที่พัฒนาโดยบริษัทด้านความปลอดภัย Avast และบริษัทลูก AVG หลังมีรายงานพบว่าส่วนขยายเหล่านี้มีการเก็บข้อมูลผู้ใช้งานมากเกินจำเป็น

สำหรับส่วนขยายที่ Mozilla สั่งถอดมีอยู่ 4 ตัว คือ Avast Online Security, AVG Online Security, Avast SafePrice และ AVG SafePrice ซึ่งส่วนขยายสองตัวแรกจะแจ้งเตือนหากผู้ใช้เข้าเว็บไซต์ปองร้ายหรือน่าสงสัย อีกสองตัวหลังสำหรับผู้ซื้อสินค้าออนไลน์ ใช้เพื่อการเทียบราคา, ดีล และคูปองในแต่ละเว็บ

Mozilla ออก Firefox 71 มีของใหม่ดังนี้

• ปรับปรุง Lockwise ตัวจัดการรหัสผ่าน ให้รองรับซับโดเมนของเว็บไซต์
• รองรับการชมวิดีโอแบบย่อมุมจอ (Picture-in-picture) โดยยังใช้ได้เฉพาะบน Windows วิธีการใช้คือนำเมาส์ไปชี้บนวิดีโอจะเห็นไอคอน Picture-in-picture สีน้ำเงินโผล่ขึ้นมาให้กด
• ตัวถอดรหัสไฟล์ MP3 แบบเนทีฟทั้งบน Windows, Mac, Linux
• เพิ่ม Kiosk Mode สำหรับการแสดงผลแบบเต็มหน้าจอ ใช้กับอุปกรณ์จอสัมผัสตามที่สาธารณะ

เว็บไซต์ ZDNet อ้างข้อมูลจากวิศวกรมอซิลล่าโดยไม่เปิดเผยชื่อ ระบุว่าไฟร์ฟอกซ์เวอร์ชั่น 72 ที่จะออกตัวจริงเดือนมกราคมนี้จะไม่แสดงป๊อบอัพขอส่งการแจ้งเตือน (notification) ให้กับผู้ใช้อีกต่อไป หลังจากทางมอซิลล่าศึกษาแล้วพบว่าผู้ใช้ถึง 97% ไม่เคยกดยอมรับการแสดงการแจ้งเตือนเลย

เว็บไซต์ยังคงขอแจ้งเดือนได้ตามปกติ เพียงแต่ความเด่นชัดจะน้อยลง เหลือเพียงไอคอนหน้า URL เท่านั้น

Mozilla ประกาศเตรียมปิดวิธีการติดตั้งส่วนขยายของ Firefox ที่เรียกว่าการทำ sideloading ด้วยเหตุผลเรื่องความปลอดภัย

ปกติแล้ว Firefox มีวิธีการติดตั้งส่วนขยายทั้งหมด 3 วิธี ดังนี้

Firefox ออกเวอร์ชัน 70 ของใหม่เวอร์ชันนี้เน้นไปที่ฟีเจอร์ด้าน Privacy ที่ใส่เข้ามาหลายตัว

มอซิลล่าประกาศความเปลี่ยนแปลงในเบราว์เซอร์ไฟร์ฟอกซ์เวอร์ชั่น 70 โดยมีความเปลี่ยนแปลงสำคัญที่แถบ URL ที่จะแสดงกระบวนการเข้ารหัสและใบรับรองที่เปลี่ยนไป 3 ประการหลัก ได้แก่

ผู้ผลิตเบราว์เซอร์รายใหญ่ประกาศจะหยุดการรับรอง TLS 1.0, 1.1 ในช่วงต้นปีหน้ามาตั้งแต่ปีที่แล้ว ล่าสุด Firefox เป็นเจ้าแรกที่ออกมายกเลิกการรับรอง TLS 1.0 และ 1.1 ในเวอร์ชัน Nightly เพื่อเตรียมยกเลิกการใช้งานในเวอร์ชันเสถียรต้นปีหน้า

เว็บไซต์ที่ยังใช้งานแค่ TLS 1.0, 1.1 หากเข้าผ่าน Firefox Nightly จะไม่สามารถเปิดได้และขึ้นเป็น "secure connection failed"

TLS 1.0 ออกมาตั้งแต่ปี 1999 ทำให้ปีนี้มีอายุ 20 ปีพอดี ขณะที่โปรโตคอลใหม่ๆ เช่น HTTP/2 นั้นบังคับว่าต้องใช้ TLS 1.2 ขึ้นไป ส่วน TLS 1.3 ก็นิ่งแล้วและมีการใช้งานเพิ่มมากขึ้นเรื่อย ๆ

Mozilla ประกาศขยับรอบการออกของ Firefox จากเดิม 6-8 สัปดาห์ ให้เร็วขึ้นเป็นทุก 4 สัปดาห์ ด้วยเหตุผลว่าต้องการผลักดันให้ฟีเจอร์ใหม่ๆ ออกสู่ตลาดได้เร็วขึ้น

การเปลี่ยนแปลงจะเริ่มในไตรมาสแรกของปี 2020 ส่วนลูกค้าองค์กรที่ไม่ต้องการอัพเดตบ่อยๆ ยังมี Firefox ESR ที่จะออกรุ่นใหม่ทุก 12 เดือนให้ใช้งานกัน

Mozilla ระบุว่าการที่รอบเวลาสั้นลง ทำให้การตรวจสอบคุณภาพตอนขั้น Beta ต้องเข้มข้นขึ้น ปัจจุบัน Firefox Beta ออกรุ่นใหม่ 2 ครั้งต่อสัปดาห์ ก็จำเป็นต้องออก Beta ให้ถี่กว่าเดิม และเน้นการทดสอบกับผู้ใช้บางกลุ่ม (A/B testing) เพื่อตรวจสอบบั๊กก่อนส่งผลกระทบต่อผู้ใช้เป็นวงกว้าง

ส่วนเสริมช่วยดาวน์โหลด DownThemAll! ออกรุ่นใหม่ ใช้เลขเวอร์ชั่น 4 ซึ่งสามารถทำงานบน Firefox Quantum ได้แล้ว และสามารถใช้งานทั้งบน Chrome และ Opera

หาติดตั้งได้ที่คลังส่วนเสริมของแต่ละเบราว์เซอร์ (Firefox , Chrome, Opera)

ทั้งนี้ DownThemAll! รุ่นนี้ไม่มีคุณสมบัติบางอย่างจากเวอร์ชั่นก่อนหน้า เนื่องจากนักพัฒนาพบข้อจำกัดการพัฒนาด้วย WebExtension API

Mozilla เคยประกาศมาสักพักแล้วว่าจะทำบริการ Firefox VPN ล่าสุดมันเปิดตัวแล้วในชื่อ Firefox Private Network

Mozilla ระบุว่าตั้งใจให้ Firefox Private Network เป็นบริการที่ช่วยรักษาความปลอดภัย-คุ้มครองความเป็นส่วนตัวให้ผู้ใช้ที่ระดับเครือข่าย นอกเหนือไปจากระดับของเบราว์เซอร์เอง ช่วยป้องกันปัญหาล็อกอิน Wi-Fi สาธารณะแล้วโดนดักข้อมูล ไปจนถึงป้องกันเว็บไซต์ตามรอยว่าเราคือใคร

ในแง่การทำงานของมันเป็นส่วนขยายที่ให้เรากดปุ่มเปิด-ปิดการเชื่อมต่อ VPN ได้ง่ายเพียงคลิกเดียว (แบบเดียวกับที่ Opera ทำได้ในตอนนี้) ส่วนเครือข่าย VPN ที่ใช้งานเป็นของ Cloudflare ซึ่งมั่นใจได้ในแง่ความน่าเชื่อถือ

หลังจากมีประเด็นร้อนเรื่อง Manifest v3 ซึ่งเป็น API ของ Chromium ที่จะทำให้ตัวบล็อคโฆษณาใช้งานไม่ได้ หรือใช้ได้ในความสามารถที่จำกัด จนทำให้เบราว์เซอร์หลายค่ายต้องออกมายืนยันจะซัพพอร์ต API เพื่อตัวบล็อคโฆษณาต่อไป

สำหรับ Firefox ซึ่งเป็นเบราว์เซอร์ที่แม้จะไม่ได้อยู่บน Chromium โดยตรง แต่ WebExtension API ของ Firefox ก็รองรับ Manifest v2 เกือบทั้งหมด ก็ได้รับคำถามจากฝ่ายนักพัฒนาว่าจะมีทีท่าอย่างไรต่อ Manifest v3 บ้าง

Mozilla ปล่อย Firefox 69 สำหรับ Windows, Mac, Linux และ Android แล้ว โดยฟีเจอร์สำคัญใน Firefox 69 มีดังนี้

ไฟร์ฟอกซ์ประกาศเดินตาม Chrome เลิกแสดงแถบชื่อองค์กรที่ใช้ใบรับรองแบบ Extended Validation (EV) ในเวอร์ชั่น 70 ที่มีกำหนดการออกเดือนตุลาคมนี้ อย่างไรก็ตาม แนวทางของไฟร์ฟอกซ์จะเพิ่มตัวเลือกให้สามารถแสดงชื่อองค์กรหน้า URL เหมือนเดิมได้

ตัวเลือก security.identityblock.show_extended_validation ถูกเพิ่มเข้ามาเพื่อให้คนที่ต้องการหน้าจอแบบเดิมสามารถใช้งานได้ต่อไป แต่ตัวเลือกนี้จะถูกปิดไว้เป็นค่าเริ่มต้น

ทางไฟร์ฟอกซ์ระบุว่าการปลอมแปลงชื่อองค์กรในใบรับรอง EV นั้นมีรายงานมาถึง 18 เดือนแล้ว จนตอนนี้ยังไม่มีทางแก้ ทำให้ทีมพัฒนาเลือกจะปิดการแสดงข้อความส่วนนี้

Mozilla เปิดตัวโลโก้ใหม่ของ Firefox เมื่อเดือนมิถุนายน ซึ่งตอนนี้ Mozilla เริ่มนำโลโก้ใหม่ออกใช้แล้วใน Firefox Nightly ซึ่งเป็นเวอร์ชัน 70 ซึ่งจะเป็นโลโก้ Firefox ที่ใช้โทนน้ำเงินและม่วงเป็นหลัก ส่วน Firefox เวอร์ชันจริงจะใช้โลโก้เดียวกันแต่เปลี่ยนโทนสีเป็นเหลืองและแดง

จุดสังเกตอีกอย่างคือ Mozilla เลิกใช้คำว่า Quantum ที่ห้อยท้าย Firefox มาตั้งแต่เวอร์ชัน 57 ที่เป็นการปรับโฉมครั้งใหญ่ของ Firefox โดยเฉพาะเทคโนโลยีการเรนเดอร์เว็บไซต์ และเปลี่ยนไปใช้คำว่า Firefox Browser แทน เพราะแบรนด์หลักของ Firefox จะครอบคลุมผลิตภัณฑ์อีกหลายอย่าง เช่น Firefox Send, Firefox Monitor, Firefox Lockwise เป็นต้น

สัปดาห์ที่ผ่านมา Mozilla ออก Firefox 68 มีของใหม่ดังนี้

สัปดาห์ที่แล้ว Mozilla ออก Firefox ตัวใหม่บน Android โดยใช้โค้ดเนมภายในว่า Fenix (ตัวที่ใช้อยู่ในปัจจุบันคือ Fennec) โดยปรับเปลี่ยนทั้งหน้าตา UI และตัวเอนจินแสดงผลมาเป็น GeckoView

หลายคนอาจสงสัยว่า เอนจินของ Firefox เป็น Gecko อยู่แล้ว แล้ว GeckoView คืออะไรกันแน่ ซึ่ง Mozilla มีคำอธิบายในเรื่องนี้

Mozilla เปิดตัว Firefox Preview ใหม่บน Android ซึ่งเป็นการนำเอาแนวคิด Firefox Focus เบราว์เซอร์ที่เน้นด้านความเป็นส่วนตัวมารวมเข้ากับ Firefox เวอร์ชันเต็ม

จุดสำคัญของ Firefox Preview คือเปลี่ยนไปใช้เอนจิน GeckoView เหมือนกับ Firefox Focus ซึ่งเป็นเอนจินที่ Mozilla พัฒนาเอง จึงใส่ฟีเจอร์ด้านความเป็นส่วนตัวและความปลอดภัยเข้าไปได้มากกว่า และทำงานเร็วขึ้นด้วย โดย Mozilla ระบุว่า Firefox Preview เร็วกว่าเดิมถึง 2 เท่า ซึ่งทำให้ Firefox แตกต่างจากเบราว์เซอร์อื่น เพราะส่วนใหญ่จะใช้ Blink ซึ่งจะขึ้นอยู่กับ Google

Firefox ออกแพตช์ฉุกเฉินใน Firefox 67.0.3 และ Firefox ESR 60.7.1 เพื่ออุดช่องโหว่ CVE-2019-11707 ซึ่งเป็นช่องโหว่ระดับวิกฤติในฟังก์ชัน .pop() ที่เปิดโอกาสให้แฮกเกอร์รันสคริปต์ JavaScript และเข้าควบคุมเครื่องได้จากทางไกล

ช่องโหว่นี้ถูกค้นพบโดย Samuel Groß จากทีม Google Project Zero และทีมงาน Coinbase Security โดยช่องโหว่นี้ถูกนำไปใช้ผ่านการโจมตีด้วย spear phishing แล้ว ดังนั้นใครใช้ Firefox ควรรีบอัพเดตเบราว์เซอร์ด่วน

ที่มา - ThreatPost

หลังจากที่ Mozilla โชว์ไอคอนแบรนด์ Firefox รวมถึงผลิตภัณฑ์ในเครือทั้งชุด เพื่อรอเสียงตอบรับจากผู้ใช้ ผ่านมาแล้วเกือบปี วันนี้ Mozilla ได้เปิดตัวโลโก้ฉบับปรับปรุงใหม่ของแบรนด์ Firefox อย่างเป็นทางการ พร้อมกับการปรับให้ Firefox เป็นแบรนด์หลัก (parent brand) ที่สื่อถึงผลิตภัณฑ์ในกลุ่มทั้งหมด ส่วนเบราว์เซอร์จะใช้ชื่อว่า Firefox Browser

การอัพเดตครั้งนี้ไม่ใช่แค่ไอคอน แต่ Mozilla ได้เปิดตัวระบบดีไซน์ของ Firefox ทั้งสี, รูปทรง, ตัวอักษร เพื่อให้การออกแบบภายในแบรนด์เป็นไปในทิศทางเดียวกัน

ประเด็นเรื่องรายได้ของ Mozilla เป็นปัญหาเรื้อรังมานาน เพราะก่อนหน้านี้ Mozilla อยู่ได้ด้วยส่วนแบ่งรายได้จากเอนจินค้นหาของ Firefox ซึ่งเป็นเงินจากกูเกิล ที่เป็นคู่แข่งโดยตรงของ Firefox (แม้ภายหลังมีดีลอื่นๆ เช่น Yandex, Baidu, Yahoo เพิ่มเข้ามา แต่รายได้จากกูเกิลยังเป็นสัดส่วนที่มากอยู่)

ล่าสุด Chris Beard ซีอีโอของ Mozilla Corporation ให้สัมภาษณ์กับสื่อเยอรมนี T3N ว่า Mozilla กำลังจะหารายได้ด้วยการเปิดบริการพรีเมียมชื่อ Firefox Premium

Mozilla ประกาศเพิ่มฟีเจอร์ด้านความเป็นส่วนตัวจำนวนมาก โดยไฮไลต์ในครั้งนี้คือการเปิด Enhanced Tracking Protection เป็นค่าเริ่มต้น ซึ่งระบบนี้จะบล็อคคุกกี้จาก third-party tracker บน Firefox เพื่อป้องกันการติดตามผู้ใช้

ระบบบล็อคคุกกี้นี้ จะบล็อคจากรายการใน Disconnect ซึ่งหาก Enhanced Tracking Protection เปิดใช้งานแล้วจะไม่มีการแสดงสัญลักษณ์ใด ๆ แต่ผู้ใช้เข้าไซต์ใดก็ตามแล้วระบบบล็อคก็จะแสดงไอคอนโล่ขึ้นมาบนแอดเดรสบาร์ สามารถคลิกเข้าไปเพื่อดูรายละเอียดการบล็อคคุกกี้ได้ และหากต้องการหยุดระบบบล็อคแยกตามไซต์ก็สามารถสั่งปิดได้เช่นกัน

Mozilla ออกอัพเดต Firefox 67 โดยเน้นที่ความเร็ว ที่เบราว์เซอร์จะโหลดสิ่งที่จำเป็นก่อน และมีฟีเจอร์ด้านความเป็นส่วนตัวเพิ่มเข้ามาในอัพเดตครั้งนี้ด้วย

ไฮไลต์ด้านความเร็วในอัพเดตครั้งนี้คือ ในส่วนเว็บ Mozilla ได้รีวิวว่าอะไรทำให้เว็บช้าหรือเร็ว และกำหนดให้ Firefox เลือกโหลดสิ่งที่จำเป็นขึ้นมาก่อน วิธีนี้ช่วยให้ Instagram, Amazon และ Google search โหลดเร็วขึ้น 40-80% รวมถึงเบราว์เซอร์จะค้นหา style sheet ทางเลือกหลังโหลดหน้าขึ้นมาแล้ว และจะไม่โหลด auto-fill จนกว่าจะขึ้นฟอร์มให้ใส่ เพื่อให้เบราว์เซอร์เร็วมากขึ้นด้วย

หลังจาก Mozilla พบปัญหาใบรับรองหมดอายุจนทำให้ add-on หลายตัวไม่ทำงานพร้อมกัน ล่าสุด Eric Rescorla ซีทีโอของ Firefox ได้เขียนรายละเอียดเกี่ยวกับเหตุการณ์ครั้งนี้แล้วว่าทำไมจึงเกิดเหตุการณ์แบบนี้ได้ และจะป้องกันเหตุการณ์ที่จะเกิดขึ้นในอนาคตอย่างไร

Rescorla ระบุว่า ทุกวันนี้ Firefox มี add-on อยู่ราว 15,000 ตัว โดย Firefox กำหนดให้ add-on ทั้งหมดที่ถูกติดตั้งจะต้องผ่านการเซ็นรับรองด้วยด้วยลายเซ็นดิจิทัลเพื่อป้องกัน add-on ที่ไม่พึงประสงค์ โดยทีมงานของ Mozilla จะเป็นผู้ตรวจสอบ add-on เอง