Что нового в октябре: Node.js 21, обновления браузеров и многое другое

Октябрь был полон релизов популярных продуктов, включая Node.js, MySQL, Firefox, Tor Browser, Joomla и др. Мы собрали самые свежие новинки, чтобы вы не пропустили обновления, которые будут вам полезны.

Особое внимание обратим на новые схемы мошенничества, которые с легкостью поставят конфиденциальность ваших данных под угрозу.

Доступна обновленная Node.js 21

Разработчики Node.js анонсировали выход версии 21. Среди основных моментов - обновление JavaScript-движка V8 до версии 11.8, новый экспериментальный флаг для изменения настроек модулей по умолчанию, встроенный клиент WebSocket, множество обновлений в программе запуска тестов и другие изменения. Node.js 21 заменит Node.js 20 в качестве нашей "текущей" линейки релизов, когда Node.js 20 перейдет на долгосрочную поддержку (LTS) в конце этого месяца.

Также команда @nodejs/performance в течение последнего года активно работала над улучшением URL, fetch, streams, node:fs и HTTP. Команда Node.js streams продолжает оптимизировать потоки Writable и Readable. В 21 версии сопровождающий потоков Роберт Наги (Robert Nagy) возглавил работу по дальнейшей оптимизации потоков за счет удаления избыточных проверок, использования битовых карт и более эффективного планирования обратных вызовов.

Также среди обновлений:

• Модули fetch и WebStreams теперь имеют статус стабильных. Это касается также модулей FormData, Headers, Request и Response.
• Добавлена экспериментальная поддержка WebSockets с флагом --experimental-websocket.
• Включена экспериментальная опция --experimental-default-type, позволяющая изменять систему модулей по умолчанию.
• При запуске тестов можно использовать glob-шаблоны в параметрах --test для большей гибкости.
• Улучшена производительность потоков Readable и Writable.
• Удалена поддержка globalPreload, рекомендуется использовать initialize и register.
• Добавлена опция flush в fs.writeFile для принудительной очистки файлов.

Релиз версий браузеров Firefox 119 и Tor Browser 13.0

Анонс Firefox 119 состоялся 24 октября и ознаменовал собой большее внедрение Firefox View.

Firefox View включает в себя большее количество содержимого. Теперь можно увидеть все открытые вкладки из всех окон, вкладки, открытые на других устройствах, и ранее закрытые вкладки.

Firefox 119 поддерживает функцию редактирования PDF-файлов, импорт расширений из Chrome, в рамках Total Cookie Protection Firefox разделение Blob URL на части (это снижает потенциальный вектор отслеживания).

В новой версии был обновлен веб-стандарт Storage Access API, что позволило повысить безопасность, снизить вероятность сбоев в работе сайтов и обеспечить отказ от использования сторонних файлов cookie в Firefox.

Также с точки зрения безопасности, для пользователей Firefox теперь доступна функция Encrypted Client Hello (ECH), обеспечивающая более конфиденциальный просмотр веб-страниц. ECH расширяет шифрование, используемое в TLS-соединениях, обеспечивая более надежную защиту конфиденциальных данных.

Firefox 119 включает в себя множество исправлений, которые были зафиксированы в предыдущей версии.

Немного опередив Firefox, 12 октября был обновлен Tor Browser до версии 13.0. Это первый стабильный релиз на базе Firefox ESR 115.

Были внесены основные изменения в систему и появились некоторые визуальные новинки:

• Получена визуальная оптимизация интерфейса в соответствии с изменениями в Firefox 113.
• Внедрены новые иконки приложений, увеличен размер новых окон с учетом соотношения сторон по умолчанию.
• Реализована настройка «HTTPS Only» для шифрования всего трафика.
• Дополнение NoScript блокирует JavaScript и плагины по умолчанию.
• Используются прокси fteproxy и obfs4proxy для защиты от блокировок и инспектирования.
• Ограничены или отключены ряд API и функций для повышения конфиденциальности и безопасности.
• Переработан дизайн домашней страницы с ее упрощением.
• Изменена схема наименования пакетов Tor Browser.

Новинки для владельцев проектов на Joomla: русская локализация и новая версия CMS

Релиз Joomla 5.0 пришелся на середину октября и принес вместе с собой достаточно обширные изменения:

• В Joomla 5 появился более совершенный темный режим для пользователей и администраторов.
• Произведено множество улучшений в кэшировании веб-активов.
• Введена автоматическая активация данных Schema.org для названий организаций и сайтов.
• Скорость работы была увеличена за счет автоматической оптимизации исходного кода с помощью phpcs fixer.
• Улучшена совместимость с PHP 8+ и произведено обновление до Bootstrap 5.3.2.
• Редактор TinyMCE получил обновление до версии 6.7 с добавлением функций выравнивания изображений.
• Поддержка AVIF в медиаменеджере и возможность исключения архивного содержимого из интеллектуального поиска улучшили возможности работы с медиафайлами.
• Внутренняя реструктуризация кода направлена на использование более современных API. Добавлена поддержка JS Import map для Web Asset Manager и исправлены устаревшие ошибки для php 8.2.
• В Joomla 5 появились Fontawesome 6.4, Codemirror 6 и обновлена библиотека Webauthn. Для оптимальной работы Joomla теперь требуется PHP 8.1, MySQL 8.0.13+, MariaDB 10.4+ и PostgreSQL 12+.
• и др.

Joomla 4.4 не имеет никаких новых особенностей. Однако она необходима для перехода с Joomla 4.x на Joomla 5.x. Она содержит обновления, обеспечивающие более плавный процесс обновления, но не содержит новых функций.

Тем не менее, в данный момент ведется работа по русской локализации Joomla 4.4. Скачать и вручную установить русскую версию можно с официального источника на Github.

MySQL 8.2: изменения и доработки новой версии

Вышла новая версия системы управления базами данных MySQL. В открытом доступе теперь есть сборку MySQL Community Server 8.2.0 для основных дистрибутивов Linux, FreeBSD, macOS и Windows.

MySQL 8.2.0 была выпущена с двумя типами веток: Innovation и LTS. Вкратце, можно сказать, что Innovation предлагается для тех, кто хочет использовать новейшие изменения в ПО, которые выходят каждые 3 месяца. Ветки LTS предназначены для более стабильных и предсказуемых обновлений.

Основные изменения в MySQL 8.2:

• Добавлена поддержка механизма аутентификации WebAuthn (FIDO2) для многофакторной аутентификации без паролей.
• Переход на использование плагина хеширования паролей caching_sha2_password вместо mysql_native_password.
• Оптимизированы хеш-таблицы, ускорена работа операций EXCEPT и INTERSECT.
• Расширены возможности отладки.
• Добавлена возможность получения диагностической информации в формате JSON.
• Упрощено распределение нагрузки в кластерах MySQL.
• Введены новые привилегии и объявлены устаревшими некоторые функции и опции.
• Исправлено более 20 уязвимостей безопасности.
• Проведена коррекция не политкорректной терминологии, связанной с репликацией.

Весной 2024 года ожидается релиз MySQL 8.4 LTS, после которого будет сформирована новая Innovation-ветка 9.0.

Linux 6.6 стал доступен для загрузки

Вышел релиз новой версии ядра Linux 6.6 с большим объемом изменений и улучшений.

В новом выпуске значительно расширены возможности работы с сетевыми протоколами и устройствами. Интегрирован сервер KSMBD для протокола SMB, что ускорит обмен файлами. Добавлена поддержка технологий Shadow Stack от Intel для защиты от ROP-атак, Dynamic Boost Control от AMD для настройки процессоров Ryzen.

Также реализован планировщик EEVDF для повышения производительности на многоядерных ЦП AMD и Intel, улучшено взаимодействие гипервизора KVM с гостевыми ОС на RISC-V, произведена масштабная очистка кода от устаревших элементов. В Linux 6.6 введены дополнительные датчики температуры и напряжения для настольных материнских плат.

В рамках безопасности исправлено более 20 уязвимостей, в том числе, связанные с Curl и OpenSSL, и устранена ошибка сбоя при отключении USB-устройств Logitech.

Вероятно, Linux 6.6 станет LTS-версией (с долгосрочной поддержкой). В целом, релиз продолжает расширять функциональные возможности ядра.

Уязвимости и мошенничество в Safari и Chrome

В iOS и macOS обнаружили уязвимость, позволяющую красть пароли, электронные письма и платежные данные из Safari.

Виной всему ошибка браузерного движка WebKit, который группирует сайты из разных доменов в один процесс, используя функцию JavaScript window.open. Из-за этого пользователь заходит на один сайт, фоном открывается другой ресурс с вредоносным кодом. Соответственно, исходя из этого процесса загрузки можно “вытащить” конфиденциальные данные.

Уязвимость под названием iLeakage можно использовать на устройствах с процессорами A12, M1 и более новыми. Ошибка встречается только в браузерах на базе WebKit, то есть на iOS это все доступные браузеры, а на macOS только Safari. Известно, что пока данной уязвимостью никто не воспользовался, а Apple уже готовят патч.

Тем временем, злоумышленники начали использовать новый тип атак с поддельным обновлением браузера (ClearFake). Мошенники взламывают сайты на WordPress, вставляют туда скрипты, которые выводят фейковые уведомления об обновлении для конкретного браузера посетителя. Фейковая страница кастомизируется под пользователей и чаще всего сообщает о невозможности просмотра контента до обновления браузера до “новейшей” версии. При клике загружается вредоносное ПО.

Ранее группа хранила вредоносные файлы обновлений на Cloudflare, однако после блокировки их разместили в виде криптовалютных транзакций в Binance Smart Chain (BSC). Binance внесла адреса распространителей в черный список и разработали модель обнаружения подобных атак в будущем.